Acesso Externo FTP em outro Servidor [RESOLVIDO]

danielbsilva2
(usa Debian)

Enviado em 27/06/2013 - 09:34h

Bom Dia Pessoal

Não estou conseguindo liberar um acesso externo aqui num servidor ftp que instalei aqui no debian, já procurei aqui mesmo no forum tentei varias regras ja no firewall mas ainda não consegui, é o seguinte
eu tenho um firewall em debian com squid transparente tentei varias regras de redirecinamento porem nenhuma deu certo até agora e instalei o proftpd em outro debian porém ele precisa ser acessado externamente, tentei liberar a porta 20, 21 no firewall pra esse server com proftpd mas não vai, então não sei se tem que configurar algo diferente no ftp ou eu que não to sabendo fazer a regra pra liberar de um servidor pra outro

px
(usa Debian)

Enviado em 27/06/2013 - 10:01h

Troque os "$" por seus dados...

iptables -A INPUT -i $IP_DA_SUA_WAN -p tcp --dport $Porta_do_ftp -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d $IP_DA_SUA_WAN --dport $Porta_do_ftp -j DNAT --to $IP_HOST_INTERNO:$Porta_do_ftp

iptables -A FORWARD -i eth0 -p tcp --dport 21 -d $IP_HOST_INTERNO -j ACCEPT

Qualquer coisa posta ai

danielbsilva2
(usa Debian)

Enviado em 27/06/2013 - 10:58h

blz px
só a sua segunda regra ai que deu erro hora que executei aqui no caso o -d eth0 da regra o certo não seria -i?

iptables -t nat -A PREROUTING -p tcp -d eth0 --dport $Porta_do_ftp -j DNAT --to $IP_HOST_INTERNO:$Porta_do_ftp

px
(usa Debian)

Enviado em 27/06/2013 - 11:22h

isso, foi erro meu ^^

Edit: já arrumei testa la dnv, caso de certo marque o tópico como resolvido, ou poste aq se ñ blz?! abc.

danielbsilva2
(usa Debian)

Enviado em 27/06/2013 - 15:15h

px

agora parece que deu mais ou menos certo, se tentar acessar externamente dá esse erro ai agora, criei os usuarios tudo certim mas num vai não

Tentativa de conexão falhou com "ECONNREFUSED - Connection refused by server

px
(usa Debian)

Enviado em 28/06/2013 - 02:19h

Tente executar as regras novamente:

Troque os "$" por seus dados...

iptables -A INPUT -i $IP_DA_SUA_WAN -p tcp --dport $Porta_do_ftp -j ACCEPT



iptables -t nat -A PREROUTING -p tcp -d $IP_EXTERNO --dport $Porta_do_ftp -j DNAT --to $IP_HOST_INTERNO:$Porta_do_ftp



iptables -A FORWARD -i $IP_DA_SUA_WAN -p tcp --dport $Porta_do_ftp -d $IP_HOST_INTERNO -j ACCEPT



iptables -t nat -A POSTROUTING -s $IP_HOST_INTERNO -o $IP_DA_SUA_WAN -j MASQUERADE



$IP_DA_SUA_WAN   # Ip da sua placa de rede (Padrão eth0)

$IP_HOST_INTERNO # Ip do servidor de ftp

$IP_EXTERNO      # IP do servidor com acesso a rede externa

$Porta_do_ftp    # Porta usada pelo servidor ftp (Padrão 21)

 

Caso as regras acima não funcionarem novamente, informe as questões abaixo:

A sua rede esta configurada em bridge ou router? São quantas maquinas?
Caso forem 2 a segunda esta configurada para se comunicar somente com o squid da primeira maquina, ou seja, a primeira funciona de firewall para a segunda e as demais? e por ultimo a segunda maquina acessa a rede externa?

danielbsilva2
(usa Debian)

Enviado em 28/06/2013 - 15:06h

px é o seguinte as regras que me passou ai não deram certo e sobre a minha rede é um modem da netvirtua conectado no meu debian firewall com squid transparente da rede aqui está em bridge e ela funciona sim justamente como firewall pra essa outra debian que instalei o FTP e aqui na empresa tem 30 maquinas, só ressaltando que aqui na rede interna acessa normal se digitar o IP:porta OK

px
(usa Debian)

Enviado em 29/06/2013 - 15:13h

Poxa complexo, deve ter passado alguma coisa despercebida, tem como postar seu script de iptables aq?

Tenta fazer uns testes na rede a maquina do ftp pinga o google, e pinga maquina do firewall?

Só pra desencargo de consciência testa isso:

echo 1 > /proc/sys/net/ipv4/ip_forward 

danielbsilva2
(usa Debian)

Enviado em 29/06/2013 - 22:36h

bom px segue ai meu script e mais abaixo ai vc vai ver os comandos que vc mesmo me passou que fiz


#!/bin/bash

firewall_start(){

#Ativa o compartilhamento da internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


#Ativa o proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 121.1.1.0/255.255.255.0 -j ACCEPT


#Redirecionamento para acesso externo ao sistema TDPJ LINUX
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8046 -j DNAT --to 121.1.1.238:80

#Acesso externo via FTP servidor TDPJ LINUX
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 121.1.1.238:21
iptables -A FORWARD -i eth0 -p tcp --dport 2020 -d 121.1.1.238 -j ACCEPT
iptables -t nat -A POSTROUTING -s 121.1.1.238 -o eth0 -j MASQUERADE


#Terminal server ntserver5
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 121.1.1.247
iptables -t nat -A POSTROUTING -d 121.1.1.247 -j SNAT --to 121.1.1.244


# Redireciona para cameras
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 7070 -j DNAT --to 121.1.1.30
iptables -t nat -A POSTROUTING -d 121.1.1.30 -j SNAT --to 121.1.1.244


#bloqueio web srv2008
iptables -I INPUT -p tcp -i eth1 -s 121.1.1.246 --dport 3128 -j DROP


#Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT


#Desbloquear webmin acesso externo
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT


# Ignora pings
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter


# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies


# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts


# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP


# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP


# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
#iptables -A INPUT -i lo -j ACCEPT


# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 0:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

# Responder a apenas 1 ping por segundo para nao congestionar o servidor
#iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


# Esta regra é o coração do firewall
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP

echo "O Firewall está sendo carregado..."
sleep 1
echo "OK!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O Firewall está sendo desativado"
sleep 2
echo "OK!"
;;
"restart")
echo "O Firewall está sendo desativado"
sleep 1
echo "OK!"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

px
(usa Debian)

Enviado em 30/06/2013 - 08:07h

Fiz esta chain para tratar o ftp, coloque o ip do seu pc que esta como firewall na regra de PREROUTING depois do -d, segue a chain abaixo:

#Libera acesso ao ftp

iptables -N FTP_SERVER

iptables -A FTP_SERVER -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 21 -j FTP_SERVER

iptables -t nat -A PREROUTING -p tcp -d $IP DO SERVIDOR COM FIREWALL --dport 21 -j DNAT --to 121.1.1.238:21

iptables -t nat -A POSTROUTING -s 121.1.1.238 -o eth0 -j MASQUERADE

iptables -A FORWARD -i eth0 -p tcp --dport 21 -d 121.1.1.238 -j ACCEPT

iptables -A FTP_SERVER -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

 

Depois é só ir ajustando as suas necessidades, caso ñ funcione poste exatamente essa chain como esta no seu script após altera -la é claro, lembrando que a rede local só ira acessar com o ip da rede local(121.1.1.0/24) e não com o externo(201.x.x.x ou 189.x.x.x), pois os dns são diferentes! então teste o servidor de uma rede externa tbm

Ahh só pra garantir, este modem net virtua e desbloqueado? pq a Net costumava bloquear as portas baixas como as 21,23,25,110 sei lá mais oq...

danielbsilva2
(usa Debian)

Enviado em 02/07/2013 - 09:06h

bom dia px

cara valew ai por tudo mas não deu certo não, to vendo que isso vai ser mais complicado que pensei, então resolvi adotar o google drive pra quando precisar de algum arquivo aqui pra pegar do programador que nos presta serviço será muito mais facil

px
(usa Debian)

Enviado em 02/07/2013 - 11:25h

Ok, mas só pra desencargo de consciência este modem era bloqueado para servidor ou algo assim? e você testou o servidor só com as regras que te passei?