On Thu, 14 Oct 2004 23:19:37 -0300, Maximiliano J. Goldsmid <[EMAIL PROTECTED]> wrote: > On Fri, 15 Oct 2004 00:18:58 +0200, David Soler <[EMAIL PROTECTED]> wrote: > > Hola: > > > > Tengo un problema al que le he dado vueltas y vueltas y no he logrado > > nada. Veamos, tengo un servidor FTP detrás de un firewall iptables. El > > caso es que quiero que desde Internet puedan acceder a mi FTP. Para > > ello hago lo siguiente en el firewall: > > > > #Redireccionamiento IP > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > #Damos salida a internet a toda la LAN > > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > > > > #Flush de reglas > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > #Politica por defecto: aceptar todo > > iptables -P INPUT ACCEPT > > iptables -P OUTPUT ACCEPT > > iptables -P FORWARD ACCEPT > > iptables -t nat -P PREROUTING ACCEPT > > iptables -t nat -P POSTROUTING ACCEPT > > > > #Establecemos las redirecciones por puerto hacia la web > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to > > 192.168.1.10:80 > > > > #Establecemos las redirecciones por puerto hacia el FTP > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to > > 192.168.1.10:21 > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to > > 192.168.1.10:20 > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1024:65535 -j > > DNAT --to 192.168.1.10 > > > > Y eso es todo. > > Suponemos que mi servidor FTP y web están en la misma máquina con la > > IP 192.168.1.10. La redirección al puerto 80 funciona perfecto, pero > > falla el FTP. La ultima regla no sé si es correcta. Mi razonamiento es > > el siguiente: yo quiero que se pueda hacer FTP en modo pasivo, por lo > > tanto, el servidor abre una conexión en un puerto igual o superior al > > 1024 y queda a la espera de que el cliente conecte a ese puerto. > > No, el servidor no escucha ni abre un puerto superior al 1024, el > servidor escucha solo en el 21, los puertos superiores al 1024 los usa > el cliente para conectarse. > > > Supongamos que para la transmisión de un archivo se abre la conexión > > en el puerto 25000, pues todo lo que le llegue al firewall del > > exterior con puerto destino 25000 debe redireccionarlo hacia > > 192.168.1.10:25000. Creo que eso es lo que hace la ultima regla. > > Corrijanme si me equivoco. > > Si esta regla lo que va hacer es... cuando por ejemplo.... si tenes un > servidor mysql que escucha en el puerto 3306 entonces lo va a > redireccionar a tu 192.168.1.10 > pero no tiene nada que ver con el problema de FTP que tenes > > > Ahora, el problema es que, aunque consigo conectar al FTP y loguearme > > desde Internet, cuando hago "ls" me dice "Cannot open data > > connection". O sea que no puedo ni listar ni transmitir ni nada de > > nada. > > 1) probaste desde otra pc de la lan ? > > 2) decis que te podes loguear.... probaste de ejecutar "passive" una > vez logueado y despues hacer un " ls " ? > > 3) no estoy seguro que esto tenga que ver.... pero, el servicio de FTP > para que ips esta escuchando? solo para la Lan o para 0.0.0.0 ?? > > > Ya sé que la politica por defecto de aceptarlo todo es arriesgada, > > pero lo hice para descartar posibles problemas. > > Alguien puede ayudarme? esto es realmente desesperante. > > Gracias. > > > > Saludos cordiales, > > David Soler > > "El conocimiento te hará libre" > > > > > > > Maxi >
Probé desde la lan y funciona sin problemas, incluso ejecutando passive. Ahora mismo el FTP lo tengo puesto directamente en Internet (sin firewall) y funciona bien, pero en cuanto lo pongo detrás del firewall falla, puedo loguearme pero nada mas. Saludos cordiales, David Soler "El conocimiento te hará libre"
