Forums:
Estoy lidiando con un problema cuando trato de conectarme a un ftp me falla la conexion y al ver un netstat veo paquetes syn hacia la ip del servidor pero con puertos de 60000 en adelante y en mi firewall tengo bloqueado todos los puertos del 3000 en adelante lo que quisiera ver es como puedo hacer una regla que permita conexiones establecidas por el puerto 21 y al regresar a la estacion el firewall las deje pasar, pero esas reglas de iptables cuando vienen con -m state NEW, ESTABLISHED las veo en chino aun no soy muy experto en protocolos tcp y buscando en ejemplos lo unico que he logrado es hacer que todos puedan conectarse con p2p cuando lo unico que deseo es que el forward me deje pasar cualquier conexion establecida del puerto 21 y la deje pasar cuando venga con otro puerto superior al 21 pero no doy con el clavo, alguien tiene un ejemplo de una regla parecida o alguna sugerencia, gracias por tomarse el tiempo en este post.
los ejemplos que he visto hablan de cuando el servidor que da ftp es pasivo lo que yo deseo es que mi firewall linux deje pasar a las estaciones de la lan hacia ftp de servidores remotos.
encontre este link y probe los ejemplos del ftp y funciono
pero talvez alguien me dice si con esas reglas no me afecta la seguridad para bloquear los p2p y conexiones que sean superior a los puertos 3000 en adelante.
el sitio donde encontre el ejemplo esta aqui
http://cofradia.org/modules.php?name=News&file=article&sid=20935
[quote]##Permitiendo FTP
iptables -A FORWARD -p tcp -m tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
# ftp activo
iptables -A FORWARD -p tcp -m tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
# ftp pasivo
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT[/quote]
pero me acabo de dar cuenta
que mis p2p se pueden conectar ahora cosa que antes no podian, por eso nunca le entiendo a esas reglas ya que siempre me brincan todas mis reglas y me provoncan un desastre total y nunca las puedo probar a largo plazo. alguien podria sugerirme que puedo hacer para mejorar estas reglas y solo afecten el ftp. :?
mi principal problema radica en esta regla.
[quote]iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT[/quote]
Yo también tenía ese
Yo también tenía ese problema hace algún tiempo, leyendo encotré la respuesta y por eso publiqué este artículo.
http://www.ecualug.org/?q=2008/02/22/blog/jcyepez/ip_conntrack_para_manejo_de_ftp
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
gracias man funciono lo raro es que ya lo habia probado
y habia cargado los modulos pero no se si es que hay que hacerlo en orden ya que primero cargaba los modulos y luego ponia las reglas y no servia, ahora cargue la regla y cargue los modulos y funciona de maravilla, mi inquitud es si el comando modprobe hay que ejecutarlo cada vez que se reinicie con el servidor o ya queda cargado? porque si elimino la regla de los ftp en iptables los modulos quedan cargados quedan asi.
ip_conntrack 41077 2 iptable_nat,ipt_state
ip_tables 17601 11 ipt_REDIRECT,ipt_mac,iptable_nat,ipt_limit,ipt_LOG,ipt_REJECT,ipt_recent,ipt_state,iptable_filter,ipt_MARK,iptable_mangle
y al momento de cargar los modulos quedo asi.
ip_nat_ftp 5041 0
ip_conntrack_ftp 72817 1 ip_nat_ftp
iptable_nat 23549 3 ip_nat_ftp,ipt_REDIRECT
ip_conntrack 41077 4 ip_nat_ftp,ip_conntrack_ftp,ipt_state,iptable_nat
ip_tables 17601 11 ipt_MARK,iptable_mangle,ipt_limit,ipt_LOG,ipt_REJECT,ipt_recent,ipt_state,iptable_filter,ipt_REDIRECT,ipt_mac,iptable_nat
es una regla que hay que cargar los modulos manualmente o hay una forma de dejarlos permanentes? ya que cada vez que hago un service iptables restart me borra los modulos de ftp y tengo que cargarlos manualmente. yo veo que muchos usan un script para iptables pero yo uso el que se graba en /etc/sysconfig/iptables que es el que tiene cuando doy service iptables save ahi se graban las reglas, entonces cada vez que lo reinicio se borran los modulos.
Los módulos deben ser
Los módulos deben ser cargados cada vez que inicia el equipo. En centos los hago en el archivo /etc/rc.local
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
si ahi lo cargo para que cuando reincie el server se
carguen automaticamente los modulos pero si hago un service iptables restart se borran.
como puedo hacer que cuando escriba service iptables restart se carguen esos modulos o queden cargados permanentemente.
Yo lo haría tocando el
Yo lo haría tocando el archivo /etc/init.d/iptables.
Ahora, no es muy buena idea meterse en estos archivos si no se sabe lo que se quiere hacer así que por lo menos yo lo que hice es crear un script que reinicia el servicio y a la vez carga los módulos.
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
excelente man voy hacer el script lo veo mas sencillo
Gracias por estar pendiente del tema, te agradezco enormemente. todo funciono a las mil maravillas con el post que publicastes referente a lso ftp con iptables. gracias.
Bueno el post panas,
Bueno el post panas, interesante lo de los estados de las conexiones, me dejo la pelicula màs clara sobre eso chevere.
Efectivamente el modprobe debes cargarlo desde tu script de iptables mira mi ejemplo:
################### CARGANDO MODULOS ####################
/sbin/depmod -a
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_conntrack_h323
modprobe ip_nat_h323
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ipt_ipp2p
Esos son lo mudulos que cargo desde mi firewall.sh
Saludos y gracias por compartir las experiencias.
Keep The Fire Burning.....
Stryper 1988
voy a empezar a usar scripts
ya que cargar el firewall con service restart me provoca caidas fuertes y a veces los modulos se tardan en cargar. voy a usar los scripts ahora.
es mejor hacer flush que un restart.
Páginas