[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]roa en unixmexico org dijo [Wed, Sep 07, 2005 at 04:49:49PM -0500]: > > Tengo un peque;o Problema .. > sobre iptables > > Reglas necesarias para FTP pasivo y activo. > Alguien le ha pasado esto :S Es que no usas statewall firewalling?! :) iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP En este caso, es INPUT y OUTPUT porque la máquina sólo hace NAT - para una red en que las conexiones sean reales, tengo más bien esto: iptables -A FORWARD -i eth1 -p tcp -m state --state NEW -j REJECT iptables -A FORWARD -i eth1 -p udp -m state --state NEW -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT donde eth1 es la interfaz externa. ¡Ah! asegúrate de tener los módulos ip_conntrack_ftp o ip_nat_ftp (según sea el caso). ¿La explicación? Va rapido: FTP (tanto activo como pasivo) requiere dos conexiones que, si bien están relacionadas entre sí, para un firewall tonto parecen simplemente independientes - Para resolver esta bronca, con estos comandos le digo (arriba) que permita salir del firewall o (abajo) permita que pasen a través del firewall por la interfaz externa los paquetes TCP o UDP (FTP va sólo sobre TCP) que sean de una conexión nueva, pero que esté relacionada con una ya establecida. Saludos, -- Gunnar Wolf - gwolf en gwolf org - (+52-55)1451-2244 / 5623-0154 PGP key 1024D/8BB527AF 2001-10-23 Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF