Liberar FTP [RESOLVIDO]

fabiomaua
(usa Debian)

Enviado em 07/01/2012 - 11:42h

Bom dia
Estou tentando colocar um FTP (vsftp) para funcionar no Debian6. Esse FTP está em uma maquina atraz do meu firewall. Alterei a porta do FTP para 2121 e no firewall, adicionei:

iptables -t nat -A PREROUTING -d [IpFixoDaInternet]-p tcp --dport 2121 -j DNAT --to [IpFixodoFtp]:2121

iptables -t nat -A POSTROUTING -s [IpFixodoFtp] -p tcp --sport 2121 -j SNAT --to-source [IpFixoDaInternet]

Com isso, todo mundo que estiver externamente e tentar acessar o meu firewall pela porta 2121, será direcionado para a porta 2121 do FTP. O problema é que ele pede o usuario, a senha e simplesmente depois de uma longa espera dá erro tipo time out!

O que esta faltando o que estou fazendo de errado?

Grato

balani
(usa Slackware)

Enviado em 07/01/2012 - 14:10h

Amigo, tenta as regras abaixo:


iptables -I FORWARD -p tcp -d IP_MAQUINA_INTERNA --dport PORTA_MAQUI_INTERNA -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport PORTA_EXTERNA -j DNAT --to-destination IP_MAQUI_INTERNAT:PORTA_SERVIÇO


Eu recomento vc alterar a porta externa, tipo para 21 e deixa a interna a mesma que vc colocou 2121.


Como está as suas regras de firewall, por exemplo as policas padrões?

fabiomaua
(usa Debian)

Enviado em 07/01/2012 - 14:47h

ola
Coloquei as regras e continua da mesma forma: pede usuario e senha e fica procurando e não retorna nada. To achando que é alguma coisa com DNS da maquina que está com o FTP.
As minhas politicas estão:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Grato

balani
(usa Slackware)

Enviado em 08/01/2012 - 18:51h

Amigo, experimenta trocar a forward para accept.

saitam
(usa Slackware)

Enviado em 08/01/2012 - 20:22h

além das regras que o amigo @balani postou coloca também

iptables -I FORWARD -p tcp -d IP_MAQUINA_INTERNA --dport 21 -j ACCEPT



iptables -I FORWARD -p tcp -d IP_MAQUINA_INTERNA --dport 53 -j ACCEPT



iptables -I FORWARD -p udp -d IP_MAQUINA_INTERNA --dport 53 -j ACCEPT



iptables -I FORWARD -p tcp -d IP_MAQUINA_INTERNA --dport 80 -j ACCEPT

 

fabiomaua
(usa Debian)

Enviado em 09/01/2012 - 20:32h

Gente...
Vcs vão achar uma coisa de louco, mas nem liberando tudo (input, output, forward) ele acessa o FTP. Fiz diversos testes fazendo redirecionamento de portas para outros servidores para outros serviços e somente esse, não vai. Cheguei até a trocar de vsftpd para proftp e a mesma coisa. O que eu já estou fazendo: vou formatar o servidor firewall e começar do zero e depois posto os resultados pra todos.
Tenham certeza que as respostas não foram em vão pois testei todas, analizei e refleti com elas.
Obrigado por enquanto!

lejoso
(usa Debian)

Enviado em 10/01/2012 - 11:14h

Bom dia!

Tenta subir os modulos do ftp do conntrack.

modprobe nf_conntrack_ftp
modprobe nf_nat_ftp

Sugiro utilizar a porta 21 primeiro e a politica do forward como ACCEPT.
Depois que funcionar, ai sim tenta a porta 2121.
Em relação ao firewall, depois você poderá fecha - lo mais. Pro ftp funcionar, você terá que liberar conexões relatadas e etabelecidas no FORWARD.

iptables -I FORWARD -d ip_server_ftp -m state --state ESTABLISHED,RELATED -j ACCEPT
Outra coisa, da uma pesquisada na diferença do ftp ativo pro passivo, pois são formas diferentes.

Att,

Leonardo

vitorioluis
(usa Debian)

Enviado em 10/01/2012 - 13:09h

Amigo foi difícil para mim fazer isto tbm ai descobri que era necessário colocar esse parâmetro no conf do vsftpd

listen_port=21
http://www.vivaolinux.com.br/etc/vsftpd.conf

e no firewall
$iptables -t nat -A PREROUTING -p tcp --dport 2121 -j DNAT --to 10.10.10.1:21

vitorioluis
(usa Debian)

Enviado em 10/01/2012 - 13:17h

A lembrei é necessario reiniciar o serviço do firewall quanto do ftp...

fabiomaua
(usa Debian)

Enviado em 10/01/2012 - 15:17h

Ola
Na verdade essas regras eu já havia adicionado. Também troquei o programa ftp de vsftp para proftp e o problema persiste.
Ainda estou fazendo alguns testes para descobrir a questão.

fabiomaua
(usa Debian)

Enviado em 10/01/2012 - 16:35h

Galera...

Alguem tem algum metodo para que eu fique monitorando o que passa entre as duas maquinas... algo do tipo tail -f /var/log/message ou tcpdump.

fabiomaua
(usa Debian)

Enviado em 11/01/2012 - 11:27h

Galera...

Eu formatei o meu firewall, também já aproceitei para instalar o Debian 6 tudo atualizadinho. Apos essa formatação ainda sim não foi possivel conectar no FTP externamente. Então parti para o micro que estava o FTP e comecei do zero. Deixei a porta padrão (21) e para a minha surpresa, voltamos a ter acesso ao FTP externamente. Agora vou ter que estudar o porque que se eu trocar a porta do FTP não é possivel mais fazer o redirecionamento.
Detalhe, externamente os usuarios continuam a fazer o uso da porta 2121 para o FTP. Deixo aqui registrado as regras do firewall:

iptables -t nat -A PREROUTING -d [IpExterno]-p tcp --dport 2121 -j DNAT --to [IpDoServidorFTP]:21
iptables -t nat -A POSTROUTING -s [IpDoServidorFTP] -p tcp --sport 21 -j SNAT --to-source [IpExterno]

Outra informação é que essa questão da porta eu alterei tanto no proftp quanto no vsftp. Também deixo registrado aqui que quando eu listo os redirecionamento do firewall (iptables -L -t nat) ao inves de aparecer a porta 2121 aparece uma tal de iprop. (Se alguem souber o que é isso, por favor me fale)

Peço desculpas pelo enorme post, mas quero deixar registrado tudo que fiz, pois assim, talvés, possa ajudar mais alguem da comunidade!