[LUG.ro] IPTABLES

Ramiro Caire lugro@lugro.org.ar
Wed, 10 Nov 2004 10:47:12 -0300 

el firewall tuyo es un script? entonces lo pones al inicio:

modprobe  ip_conntrack
modprobe  ip_conntrack_ftp
modprobe  ip_nat_ftp

y sino cuando arranca el sistema y carga los otros modulos le agregas estos,
que en definitiva son unos mas del kernel

Saludos
Ramiro
.
----- Original Message ----- 
From: <ArinoO@bancobsf.com.ar>
To: <lugro@lugro.org.ar>
Sent: Wednesday, November 10, 2004 10:23 AM
Subject: RE: [LUG.ro] IPTABLES


> Eureka!!!!
> Diste en el clavo.
> Cuando arranca el firewal me carga el modulo ip_conntrack, pero no los
otros
> 2 modulos. Cuando los cargue a mano empezó a funcionar correctamente.
> Ahora, como puedo hacer para que el modulo ip_conntrack_ftp y el modulo
> ip_nat_ftp los carge automáticamente.
>
> Gracias.
>
> Omar
>
> -----Mensaje original-----
> De: Mariano Drzazga
> Enviado el: Martes 9 de Noviembre de 2004 08:51
> Para: lugro@lugro.org.ar
> Asunto: RE: [LUG.ro] IPTABLES
>
>
> Omar,
>
> Sin ver las reglas, me animo a decir que te falta el módulo helper que
hace
> connection tracking para ftp.
> Si la sesión de FTP que querés establecer es en modo activo, una vez que
> autenticó, el servidor tratará de iniciar una conexión desde su puerto 20
> hacia un puerto cualquiera (>1024) de la PC donde fue iniciada la conexión
> FTP.
>
> Obviamente si no hay algo que esté "manejando" el tema de éstas 2
> conexiones, el firewall no va a dejar que se conecten a un puerto
cualquiera
> desde afuera (y por mas que lo permitiese, debería hacer PORTFORWARDING de
> esa conexión entrante hacia la PC cliente). Todo eso, justamente lo hace
> este módulo que te digo.
>
> Para cargarlo, va a depender de como tengas configurado las opciones de
> NETFILTER en tu kernel. En principio podés probar agregando estas 2 líneas
> en tu script de IPTABLES :
>
> insmod ip_conntrack
> insmod ip_conntrack_ftp
> insmod ip_nat_ftp
>
> Saludos,
>
> Mariano
>
>
>
> >
> > Ahora, me saltó otro problema. Resulta que estóy en
> > mascarando el puerto
> > para HTTP, HTTPS y FTP, el inconveniente me surgue cuando se
> > intenta hacer
> > una conección FTP a travez de un cliente FTP y no del
> > navegador web. Por lo
> > que estuve viendo el cliente se conecta al servidor FTP y
> > envia el usuario y
> > la contraseña, pero despues devuelve un error '500 puerto
> > desconocido'. El
> > problema lo está generando en las máquinas que están detras
> > del firewall.
> > Investigando más veo que una vez que hace la conección los
> > clientes abren un
> > puerto distinto al 21, como por ejemplo el 3800.
> > Estas son las reglas de FORWARD que estoy utilizando, como
> > politica DROP,
> > permito salir todo desde la red interna a la red externa y
> > permito entrar
> > todo los paquetes que pertenecen a una conección existente
> > (STABLISHED,
> > RELATED).
> > ¿Que me puede estár fallando?
> > Gracias.
> >
> > Omar
>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>