Foros del Web » Administración de Sistemas » Unix / Linux »

Como liberar conexion saliente para FTP?

Estas en el tema de Como liberar conexion saliente para FTP? en el foro de Unix / Linux en Foros del Web. Buenas, Amigos, tengo una dificultad, necesito liberar el puerto para establecer conexiones salientes para ftp y el puerto 2082. Aquie en la empresa anteriormente podia ...
  #1 (permalink)  
Antiguo 15/11/2006, 07:46
Avatar de mape367  
Fecha de Ingreso: noviembre-2004
Ubicación: CDE, Paraguay
Mensajes: 213
Antigüedad: 20 años, 1 mes
Puntos: 3
Como liberar conexion saliente para FTP?

Buenas,

Amigos, tengo una dificultad, necesito liberar el puerto para establecer conexiones salientes para ftp y el puerto 2082.

Aquie en la empresa anteriormente podia conectarme con FireFTP, una extensión de FireFox cuando con otros clientes FTP no podía hacerlo, pero ahora ya no me conecta. Es que hace poco hicieron muchos cambios en el servidor y el responsable de eso ya no esta.

Aqui les dejo el resultado de iptables -L -v:
Código:
internet:/sbin# iptables -L -v
Chain INPUT (policy DROP 926 packets, 81678 bytes)
 pkts bytes target     prot opt in     out     source               destination                                               
 1040  102K ACCEPT     all  --  lo     any     anywhere             anywhere                                                  
  234 18420 ACCEPT     icmp --  any    any     anywhere             anywhere                                                  
13823 1973K ACCEPT     all  --  any    any     anywhere             anywhere                                                          state RELATED,ESTABLISHED
 1388  184K ACCEPT     all  --  any    any     localnet/24          anywhere                                                          state NEW
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5051
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5052
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5053
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5054
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5010
   13   756 LOG        tcp  --  any    any     anywhere             anywhere                                                          tcp dpt:ssh LOG level warning prefix `FIREWALL - SSH: '
    0     0 LOG        tcp  --  any    any     anywhere             anywhere                                                          tcp dpt:ftp LOG level warning prefix `FIREWALL - FTP: '
    0     0 LOG        tcp  --  any    any     anywhere             anywhere                                                          tcp dpt:telnet LOG level warning prefix `FIREWALL - TELNET: '
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere                                                          tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     201.22.95.63.static.gvt.net.br  a                                              nywhere            tcp dpt:ssh

Chain FORWARD (policy DROP 2 packets, 2128 bytes)
 pkts bytes target     prot opt in     out     source               destination                                               
   50  1920 ACCEPT     icmp --  any    any     anywhere             anywhere                                                  
 162K   61M ACCEPT     all  --  any    any     anywhere             anywhere                                                          state RELATED,ESTABLISHED
 7682  368K ACCEPT     all  --  any    any     localnet/24          anywhere                                                          state NEW
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5051
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5052
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5053
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5054
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere                                                          udp dpt:5010
    0     0 ACCEPT     tcp  --  any    any     10.50.1.0/24         anywhere            tcp dpt:telnet
    0     0 ACCEPT     tcp  --  any    any     10.50.2.0/24         anywhere            tcp dpt:telnet
    0     0 ACCEPT     tcp  --  any    any     10.50.3.0/24         anywhere            tcp dpt:telnet
    0     0 ACCEPT     tcp  --  any    any     10.50.4.0/24         anywhere            tcp dpt:telnet
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:domain
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:www
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:pop3
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:https
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:1863
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:5190
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:gds_db
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:webcache
    0     0 ACCEPT     icmp --  any    any     localnet/24          anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
    0     0 ACCEPT     all  --  any    any     192.168.1.100        anywhere

Chain OUTPUT (policy DROP 6272 packets, 691K bytes)
 pkts bytes target     prot opt in     out     source               destination
  731 70579 ACCEPT     icmp --  any    any     anywhere             anywhere
 9494 1499K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  700  106K ACCEPT     all  --  any    any     localnet/24          anywhere            state NEW
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:domain
 5759  407K ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
    0     0 ACCEPT     tcp  --  any    any     localnet/24          anywhere            tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     201.22.95.63.static.gvt.net.br  anywhere            tcp dpt:ssh
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere
Podrian ayudarme con esto?

Desde ya muchas gracias

Saludos
  #2 (permalink)  
Antiguo 15/11/2006, 14:32
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 3 meses
Puntos: 47
En realidad serviria mas que nos dieras el resultado de iptables-save
Igualmente no entiendo que es lo que quieres hacer.
¿Que es ese puerto 2082?
¿Que servidor FTP estas utilizando?
¿Que distribucion de Linux estas utilizando?
¿Que errores obtienes en los clientes FTP?
¿Que errores obtienes en los logs de tu servidor FTP?

Saludos.
__________________
¡Volviendo a la programación!
  #3 (permalink)  
Antiguo 15/11/2006, 23:04
pablasso
Invitado
 
Mensajes: n/a
Puntos:
y algo mas manual.. tambien puedes darte una vuelta por /etc/init.d/ y checar el status de los mas comunes si es que los tienes instalados, como shorewall, apf, firehol, etc
  #4 (permalink)  
Antiguo 16/11/2006, 05:31
Avatar de mape367  
Fecha de Ingreso: noviembre-2004
Ubicación: CDE, Paraguay
Mensajes: 213
Antigüedad: 20 años, 1 mes
Puntos: 3
Buenas

AleSanchez, la distribución que utilizo es Debian. Lo que quiero hacer es: liberar el puerto que utiliza el servidor FTP (nose cuál es el puerto), ya que ahora esta bloqueado por el firewall. Pero sólo quiero liberarlo para las conexiones salientes, no las entrantes. No quiero habilitar para que se conecten a mi server por FTP.
El puerto 2082 es un puerto que utiliza el panel de control de mi servicio de hosting, y desde que se instaló el firewall no puedo acceder a él.

Aqui está lo que me arroja iptables-save:
Código:
internet:/etc# iptables-save
# Generated by iptables-save v1.2.11 on Thu Nov 16 05:24:54 2006
*mangle
:PREROUTING ACCEPT [434321:167694496]
:INPUT ACCEPT [35415:4570166]
:FORWARD ACCEPT [398906:163124330]
:OUTPUT ACCEPT [47267:6044793]
:POSTROUTING ACCEPT [433898:167886609]
COMMIT
# Completed on Thu Nov 16 05:24:54 2006
# Generated by iptables-save v1.2.11 on Thu Nov 16 05:24:54 2006
*filter
:INPUT DROP [1726:154908]
:FORWARD DROP [2:2128]
:OUTPUT DROP [12775:1406890]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.y.y/255.255.255.0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 5051 -j ACCEPT
-A INPUT -p udp -m udp --dport 5052 -j ACCEPT
-A INPUT -p udp -m udp --dport 5053 -j ACCEPT
-A INPUT -p udp -m udp --dport 5054 -j ACCEPT
-A INPUT -p udp -m udp --dport 5010 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j LOG --log-prefix "FIREWALL - SSH: "
-A INPUT -p tcp -m tcp --dport 21 -j LOG --log-prefix "FIREWALL - FTP: "
-A INPUT -p tcp -m tcp --dport 23 -j LOG --log-prefix "FIREWALL - TELNET: "
-A INPUT -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 201.22.95.63 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 5051 -j ACCEPT
-A FORWARD -p udp -m udp --dport 5052 -j ACCEPT
-A FORWARD -p udp -m udp --dport 5053 -j ACCEPT
-A FORWARD -p udp -m udp --dport 5054 -j ACCEPT
-A FORWARD -p udp -m udp --dport 5010 -j ACCEPT
-A FORWARD -s 10.50.1.0/255.255.255.0 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 10.50.2.0/255.255.255.0 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 10.50.3.0/255.255.255.0 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 10.50.4.0/255.255.255.0 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 3050 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.y.y/255.255.255.0 -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.z.z -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s 192.168.y.y/255.255.255.0 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -s 201.22.95.63 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
COMMIT
# Completed on Thu Nov 16 05:24:54 2006
# Generated by iptables-save v1.2.11 on Thu Nov 16 05:24:54 2006
*nat
:PREROUTING ACCEPT [49556:2778797]
:POSTROUTING ACCEPT [11271:967641]
:OUTPUT ACCEPT [40886:3435623]
-A PREROUTING -s 10.50.1.0/255.255.255.0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.x.x
-A PREROUTING -s 10.50.2.0/255.255.255.0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.x.x
-A PREROUTING -s 10.50.3.0/255.255.255.0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.x.x
-A PREROUTING -s 10.50.4.0/255.255.255.0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.x.x
-A POSTROUTING -s 192.168.x.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 53 -j SNAT --to-source 200.3.254.x
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 25 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 110 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 443 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 1863 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 5190 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 3050 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -o eth1 -p tcp -m tcp --dport 8080 -j SNAT --to-source 200.3.254.22
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -p icmp -j MASQUERADE
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -p tcp -m tcp --dport 53 -j MASQUERADE
-A POSTROUTING -s 192.168.y.y/255.255.255.0 -p udp -m udp --dport 53 -j MASQUERADE
-A POSTROUTING -s 192.168.z.z -j MASQUERADE
COMMIT
pablasso, llegue a init.d, y este es el listado de archivos, pero nose que hacer ahi.

Código:
internet:/etc# ls
adduser.conf       crontab              exim4         inputrc          mdadm             pam.conf        rmt
adjtime            cron.weekly          fdmount.conf  iproute2         mediaprm          pam.d           rpc
aliases            csh.cshrc            fstab         issue            mime.types        passwd          samba
alternatives       csh.login            ftpusers      issue.net        mkinitrd          passwd-         securetty
apache             csh.logout           groff         kernel-img.conf  modprobe.d        perl            security
apm                cups                 group         ldap             modules           php4            services
apt                debconf.conf         group-        ld.so.cache      modules.conf      ppp             shadow
at.deny            debian_version       gshadow       locale.alias     modules.conf.old  printcap        shadow-
bash.bashrc        default              gshadow-      locale.gen       modutils          profile         shells
bash_completion    deluser.conf         host.conf     localtime        motd              protocols       skel
bash_completion.d  dhclient.conf        hostname      logcheck         mtab              python2.3       ssh
bind               dhclient-script      hosts         login.defs       mtools.conf       rc0.d           sysctl.conf
calendar           dhcp3                hosts.allow   logrotate.conf   Muttrc            rc1.d           syslog.conf
chatscripts        dictionaries-common  hosts.deny    logrotate.d      mysql             rc2.d           terminfo
complete.tcsh      discover.conf        hotplug       magic            nanorc            rc3.d           timezone
console            discover.conf-2.6    hotplug.d     mailcap          network           rc4.d           ucf.conf
console-tools      discover.d           identd.conf   mailcap.order    networks          rc5.d           updatedb.conf
cron.d             dpkg                 identd.key    mailname         nsswitch.conf     rc6.d           vsftpd.conf
cron.daily         emacs                inetd.conf    mail.rc          openoffice        rcS.d           w3m
cron.hourly        email-addresses      init.d        manpath.config   openvpn           reportbug.conf  wgetrc
cron.monthly       environment          inittab       mc               opt               resolv.conf
Desde ya muchas gracias por las respuestas.

Saludos
  #5 (permalink)  
Antiguo 16/11/2006, 12:10
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 3 meses
Puntos: 47
Que extraña forma de montar un firewall...
Por lo que veo, vas a tener que agregar un par de lineas en FORWARD y en POSTROUTING, copiando el formato que tenes en el ejemplo que me pasaste, para los puertos 20 y 21 TCP.

Igual antes que nada vas a tener que averiguar como se esta manejando ese firewall, si con un programa tipo Firestarter o parecidos, o quizas con algun script tipo firewall.rc.

Saludos!
__________________
¡Volviendo a la programación!
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:11.