[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]roa en unixmexico org dijo [Wed, Sep 07, 2005 at 04:49:49PM -0500]:
>
> Tengo un peque;o Problema ..
> sobre iptables
>
> Reglas necesarias para FTP pasivo y activo.
> Alguien le ha pasado esto :S
Es que no usas statewall firewalling?! :)
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
En este caso, es INPUT y OUTPUT porque la máquina sólo hace NAT -
para una red en que las conexiones sean reales, tengo más bien esto:
iptables -A FORWARD -i eth1 -p tcp -m state --state NEW -j REJECT
iptables -A FORWARD -i eth1 -p udp -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
donde eth1 es la interfaz externa. ¡Ah! asegúrate de tener los módulos
ip_conntrack_ftp o ip_nat_ftp (según sea el caso).
¿La explicación? Va rapido: FTP (tanto activo como pasivo) requiere
dos conexiones que, si bien están relacionadas entre sí, para un
firewall tonto parecen simplemente independientes - Para resolver esta
bronca, con estos comandos le digo (arriba) que permita salir del
firewall o (abajo) permita que pasen a través del firewall por la
interfaz externa los paquetes TCP o UDP (FTP va sólo sobre TCP) que
sean de una conexión nueva, pero que esté relacionada con una ya
establecida.
Saludos,
--
Gunnar Wolf - gwolf en gwolf org - (+52-55)1451-2244 / 5623-0154
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF