NAT para acesso ao FTP

[robson.robson]

Tenho um servidor de FTP baseado em Linux- Funcionando normalmente.

Quando vou fazer o NAT no endian para que tenha acesso externo ao meu FTP, simplesmente o endian abre a porta mas o NAT não funciona.
Configuração do NAT:
IP de entrada : Meu IP (fixo) ; serviço : FTP/21 ; politica: permitir ; traduzir para: servidorftp:21 ; realizar NAT.

Porém não funciona.

[robson.robson]

Nenhuma ideia ?

[Grube]

Cara… Difícil, pq o que vc fez é pra estar certo.

A única coisa que eu iria ver era se a porta está liberada mesmo e eu daria uma olhada no log de firewall pra ver ser pra onde que ele está jogando.

[robson.robson]

As portas estão realmente abertas, mas o Log do firewall não registra nada … muito estranho.
Alguém tem FTP funcionando atras do Edian 2.5.2.?

[robson.robson]

Estou verificando aqui agora e a porta 21 está fechada.
Porem quando criamos a regra na porta 21 o endian libera o acesso a porta.

[airton.toni]

Bom dia Robson,

Estou com o mesmo problema, vc conseguiu resolver??

A versão e a mesma.

[neophsp]

Libera também a porta 20.

[medrado]

Man como neophsp falou, libere a 20 que é por onde são transferidos os arquivos (ftp-data), atente-se também para o protocolo TCP/UDP. Há também a questões de portas aleatórias que são utilizadas na conexão ao FTP no modo passivo. Há um modulo que resolve isso.

[robson.robson]

Cara não entendo…

tenho varias regras de NAT funcionando, com as portas abertas. Porem quando crio as regras para as portas 20 e 21 o endian não abre nem as portas.

[medrado]

voce fez para qual protocolo!? TCP ou UDP? Liberou as portas alem de fazer o nat!?

• Esta resposta foi modificada 9 anos, 8 meses atrás por medrado.

[robson.robson]

Para os dois.
Segue as regras do firewall.

-A PORTFW -d ipinternet/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination :21 
-A PORTFW -d ipinternet/32 -p udp -m udp --dport 21 -j DNAT --to-destination ipserverftp:21 
-A PORTFW -d ipinternet/32 -p tcp -m tcp --dport 20 -j DNAT --to-destination ipserverftp:20 
-A PORTFW -d ipinternet/32 -p udp -m udp --dport 20 -j DNAT --to-destination ipserverftp:20 
-A PORTFWACCESS -d ipserverftp/32 -p tcp -m tcp --dport 21 -j NFLOG --nflog-prefix "PORTFWACCESS:ALLOW:2" 
-A PORTFWACCESS -d ipserverftp/32 -p tcp -m tcp --dport 21 -j ALLOW 
-A PORTFWACCESS -d ipserverftp/32 -p udp -m udp --dport 21 -j NFLOG --nflog-prefix "PORTFWACCESS:ALLOW:2" 
-A PORTFWACCESS -d ipserverftp/32 -p udp -m udp --dport 21 -j ALLOW 
-A PORTFWACCESS -d ipserverftp/32 -p tcp -m tcp --dport 20 -j ALLOW 
-A PORTFWACCESS -d ipserverftp/32 -p udp -m udp --dport 20 -j ALLOW 

[medrado]

Man, não uso o endian como firewall somente como proxy, contudo por essas linhas eu percebo que ele tem como base o iptables. Com isso mude o “ALLOW” por “ACCEPT”

[medrado]

Essas variaveis “PORTFWACCESS” “PORTFW” “ALLOW” estao neste mesmo arquivo!?

• Esta resposta foi modificada 9 anos, 8 meses atrás por medrado.

[robson.robson]

eu peguei essa linhas do comando iptables-save.
Não é recomendado fazer alterações direto no firewall.
tem que ser pela interface.

[neophsp]

Cria a regra de NAT e tenta o acesso. Poste os logs do Firewall aqui. Seu servidor FTP está com o gw correto?

[medrado]

Man realize esse comando “iptables -L PORTFWACCESS” ou o “iptables -t nat -L PORTFWACCESS” e poste aqui pode ser!? Agora esses seus testes você esta fazendo direto na porta ou utilizando algun software de FTP. Se for o caso faça um teste direto na porta via telnet pois softwares de FTP utilizam o modo passivo que por sua vez iniciam conexão atravez de portas aleatorias.

[robson.robson]

Log do firewall. Sim ele é o gw.

hora	        cadeia	          iface proiporigem port	MAC   IPdestino port
Aug 29 08:38:42	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8108 macaddress ipdestino	21
Aug 29 08:38:45	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8108 macaddress ipdestino	21
Aug 29 08:38:51	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8108 macaddress ipdestino	21
Aug 29 08:39:03	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8129 macaddress ipdestino	21
Aug 29 08:39:06	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8129 macaddress ipdestino	21
Aug 29 08:39:12	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8129 macaddress ipdestino	21
Aug 29 08:39:24	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8132 macaddress ipdestino	21
Aug 29 08:39:27	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8132 macaddress ipdestino	21
Aug 29 08:39:33	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8132 macaddress ipdestino	21
Aug 29 08:39:45	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8144 macaddress ipdestino	21
Aug 29 08:39:48	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8144 macaddress ipdestino	21
Aug 29 08:39:54	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8144 macaddress ipdestino	21
Aug 29 08:40:06	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8147 macaddress ipdestino	21
Aug 29 08:40:09	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8147 macaddress ipdestino	21
Aug 29 08:40:15	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8147 macaddress ipdestino	21
Aug 29 08:40:27	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8155 macaddress ipdestino	21
Aug 29 08:40:30	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8155 macaddress ipdestino	21
Aug 29 08:40:36	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8155 macaddress ipdestino	21
Aug 29 08:40:49	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8163 macaddress ipdestino	21
Aug 29 08:40:52	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8163 macaddress ipdestino	21
Aug 29 08:40:58	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8163 macaddress ipdestino	21
Aug 29 08:41:10	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8168 macaddress ipdestino	21
Aug 29 08:41:13	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8168 macaddress ipdestino	21
Aug 29 08:41:18	PORTFWACCESS:ALLOW:2 br0 TCP iporigem 8168 macaddress ipdestino	21

• Esta resposta foi modificada 9 anos, 8 meses atrás por robson.robson.

[robson.robson]

@neophsp o endian esta liberando o acesso e fazendo o NAT… porém não acessa.

@medrado eu faço um portscan nas portas. O retorno é fechada… o comando iptables -L PORTFWACCESS retornou o seguinte: `target prot opt source destination

NFLOG tcp — anywhere ipservidorftp tcp dpt:ftp nflog-prefix “PORTFWACCESS:ALLOW:2”
ALLOW tcp — anywhere ipservidorftp tcp dpt:ftp
NFLOG udp — anywhere ipservidorftp udp dpt:ftp nflog-prefix “PORTFWACCESS:ALLOW:2”
ALLOW udp — anywhere ipservidorftp udp dpt:ftp
NFLOG tcp — anywhere ipservidorftp tcp dpt:ftp-data nflog-prefix “PORTFWACCESS:ALLOW:3”
ALLOW tcp — anywhere ipservidorftp tcp dpt:ftp-data
NFLOG udp — anywhere ipservidorftp udp dpt:ftp-data nflog-prefix “PORTFWACCESS:ALLOW:3”
ALLOW udp — anywhere ipservidorftp udp dpt:ftp-data `

já outro comando não retornou nada. não tem nenhuma chain.

[neophsp]

Regra Atual
Configuração do NAT:
IP de entrada : Meu IP (fixo) ; serviço : FTP/21 ; politica: permitir ; traduzir para: servidorftp:21 ; realizar NAT.

Tente mudar para:
IP de entrada: Uplink main – IP: All known

Access From
Source Type: Any Filter Policy; Allow with IPS

[medrado]

Robson, há como você printar os resultados desses comandos abaixo!?
iptables -L
iptables -t nat -L

Pois o endian trabalha com tabelas que são criadas pelos arquivos de configuração que ele possui.

Robson, você esta testando com o portscan de fora de sua rede correto!?

[robson.robson]

Troquei para Uplink – IP: all known.
sem resultados. Ele faz o NAT porém não conecta…

[neophsp]

O gw do ftpserver é o da lan do endian, certo? São coisas simples, mas quero confirmar.

[robson.robson]

@medrado segue arquivos das configurações Iptalbes -L

Iptables -t nat -L eu utilizo esse site para verificas as portas http://www.gwebtools.com.br/scanner-porta.

@neophsp sim o gw do ftpserver é da lan do endian.

• Esta resposta foi modificada 9 anos, 8 meses atrás por robson.robson.

[Autor]

Posts