[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

Re: [Ayuda] Hola



roa en unixmexico org dijo [Wed, Sep 07, 2005 at 04:49:49PM -0500]:
> 
> Tengo un peque;o Problema ..
> sobre iptables
> 
> Reglas necesarias para FTP pasivo y activo.
> Alguien le ha pasado esto  :S

Es que no usas statewall firewalling?! :)

    iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

En este caso, es INPUT y OUTPUT porque la máquina sólo hace NAT -
para una red en que las conexiones sean reales, tengo más bien esto:

    iptables -A FORWARD -i eth1 -p tcp -m state --state NEW -j REJECT
    iptables -A FORWARD -i eth1 -p udp -m state --state NEW -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

donde eth1 es la interfaz externa. ¡Ah! asegúrate de tener los módulos
ip_conntrack_ftp o ip_nat_ftp (según sea el caso).

¿La explicación? Va rapido: FTP (tanto activo como pasivo) requiere
dos conexiones que, si bien están relacionadas entre sí, para un
firewall tonto parecen simplemente independientes - Para resolver esta
bronca, con estos comandos le digo (arriba) que permita salir del
firewall o (abajo) permita que pasen a través del firewall por la
interfaz externa los paquetes TCP o UDP (FTP va sólo sobre TCP) que
sean de una conexión nueva, pero que esté relacionada con una ya
establecida.

Saludos,

-- 
Gunnar Wolf - gwolf en gwolf org - (+52-55)1451-2244 / 5623-0154
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973  F800 D80E F35A 8BB5 27AF





[Hilos de Discusión] [Fecha] [Tema] [Autor]