[eSlack] iptables y ftp
Angel Rengifo Cancino
durazno.slack at gmail.com
Fri Aug 18 17:17:20 CEST 2006
Mira, lo mejor para el FTP seria habilitarlo solamente en modo pasivo,
dado que en modo activo permitirias que el servidor FTP se conecte a
nosotros en el puerto 20, cosa que no puede ser muy deseable.
Con el FTP pasivo seria algo asi con iptables en FORWARD:
iptables -A FORWARD -s LAN -d WAN -p tcp --dport 21 -m state --state
NEW,ESTABLISHED
iptables -A FORWARD -d LAN -s WAN -p tcp --sport 21 -m state --state ESTABLISHED
iptables -A FORWARD -s LAN -d WAN -p tcp --dport 1024:65535 --sport
1024:65535 -m state --state RELATED,ESTABLISHED
iptables -A FORWARD -d LAN -s WAN -p tcp --dport 1024:65535 --sport
1024:65535 -m state --state ESTABLISHED
Las dos primeras reglas abren el canal comun de FTP para transmision
de comandos y demas informacion propia del protocolo. Las dos ultimas
reglas se abren en un puerto siempre superior a 1024 el cual se elije
aleatoriamente y es una conexion nueva ajena al puerto 21 pero
relacionada a esta ultima (por eso el estado RELATED) por donde se
transmitiran los datos (descargas y subidas).
Con eso deberia funcionar teniendo los modulos de ftp cargados
obviamente. Lo uso asi en donde yo laboro y funciona perfecto. Nos
vemos
2006/8/17, Leonardo Moreno <andrenio en gmail.com>:
> Si claro uso, denegacion por defecto, y voy abriendo a medida que voy
> necesitando.
>
>
> --
> por favor evita el enviarme archivos adjuntos de MS Word.
> Ver http://www.gnu.org/philosophy/no-word-attachments.es.html
> Ver http://www.gnu.org/philosophy/philosophy.es.html
>
> Leonardo Moreno
> Cali, Colombia
>
> _______________________________________________
> eSlack mailing list
> eSlack en lists.eslack.org
> http://lists.eslack.org/mailman/listinfo/eslack
>
More information about the eSlack mailing list