Problema de Actualizacion del programa USHAY (solucionado)

Imagen de falcom

Saludos, días atras hubo varias peticiones de los foristas de que no podían actualizar el programa USHAY (de compras públicas) de las pc's que estaban detras de un proxy/firewall; asi que luego de una investigación di con el problema.
Un analisis de tráfico indica que el link "Verificar actualizacion" nos direcciona a un server ftp de compras publicas
190.152.98.244 ==> ftpushay.compraspublicas.gob.ec
recuerden que el ftp usa los puertos 20 y 21, pero el error esta en q el ftp server bloquea puertos altos/o determinadas ips, puertos que utilizan las pc's de cualquier lan para tratar de conectarse detras de un proxy/firewall
La solución es la siguiente:
en nuestro script de iptables llamar al modulo
modprobe ip_nat_ftp
modulo requerido para que se haga nateo ftp, ademas este módulo x default no se carga.
tambien y logicamente abrir los puertos FTP
iptables -A INPUT -s 192.xxx.xxx.xxx/22 -p tcp --dport 20:21 -j ACCEPT

en nuestro squid.conf
agregar la opcion de :
ftp_passive on
y verificar si se encuentran agregados los puertos 20 y 21 como seguros
acl Safe_ports port 20
acl Safe_ports port 21

Es todo, les dejo unas imagenes para q revisen


AdjuntoTamaño
Image icon ushay1.png133.92 KB
Image icon ushay-lan.png36.68 KB
Image icon ushay2.png211.55 KB

Comentarios

Excelente aporte falcom, solo

Imagen de deathUser

Excelente aporte falcom, solo un par de observaciones:
- atras va con tilde (atrás)
[quote=falcom]
recuerden que el ftp usa los protocolos 20 y 21, pero el error esta en q el ftp server bloquea puertos altos/o
[/quote]
20 y 21 no son protocolos son puertos TCP que el servicio FTP los usa por default.
el ftp server no bloquea puertos altos, lo correcto es que, en modo activo FTP usa los puertos 20 y 21 para la conexión y transferencia de datos, pero en modo pasivo, se usan los puertos 20 y 21 solamente para gestionar la conexión y luego para la transferencia de datos se usan puertos aleatorios generalmente altos, estos puertos normalmente no son permitidos por el firewall (iptables) a no ser que se active el módulo ip_nat_ftp y se permitan los paquetes relacionados, con lo cual puedes hacer nat de conexiones ftp en modo pasivo...

Más detalles de las diferencias entre los modos activo y pasivo del FTP:

http://ftpjlgl.blogspot.com/2010/01/ftp-activo-vs-ftp-pasivo.html

bye
;)

actualizacion ushay

Tengo el mismo problema, la solucion que nos dan debe ser buena, pero es para expertos en compu, por favor nos podrias dar la solucion pero paso a paso para poder hacer.... te agradezco mucho

consulta

No puedo hacer nuevos pliego en el USHAY tengo un proxy con centos 6 y squid 3 es problema de los puestos me podrian ayudar que puertos habro y como es el scipt

GUIDASOS

Páginas