Ciao, ho 2 PC in rete (che chiamerò Client e Server); sul Server è attivo il firewall. Dal PC-Client non riesco a collegarmi a quasi tutti i Server-Ftp impostati in modalità ATTIVA. Per quello ke riguarda la rete non ho dato limitazioni...

Sul mio server come devo configurare il firewall x far funzionare il client-ftp ? Devo ank'io (come x i server-ftp) aprire in ingresso la porta 20/21? Devo reinderizzare sul client qlc porta ?

TNK

ai ai ai ... il protocollo FTP ... il dolore di ogni amministratore di rete!
ti consiglio di usare qualche accrocchio/proxy ftp trasparente come
http://frox.sourceforge.net/
o
http://www.suse.com/en/whitepapers/proxy_suite/

ai ai ai ... il protocollo FTP ... il dolore di ogni amministratore di rete!
ti consiglio di usare qualche accrocchio/proxy ftp trasparente come
http://frox.sourceforge.net/
o
http://www.suse.com/en/whitepapers/proxy_suite/

Praticamente devo installlare sul mio Server un Proxy SOLO x far uscire dalla mia rete le connessioni del mio client-ftp ? :(

si ti assicuro che FTP è una brutta bestia.
per le connessioni ATTIVE ti servono solo la porta 20 e 21, ma se la connessione deve essere passiva, e alcuni server FTP ti costringono (per buoni motivi) a questo, allora la porta 21 viene sempre usata per i comandi, e per i dati viene allocata una porta dinamica mi pare sopra la 40000.

se non vuoi proxare puoi usare il modulo ip_conntrack_ftp.ko che però non ho mai smanettato più di tanto e non saprei che dirti. la soluzione proxy rimane la più semplice e sicura secondo me: alla fine chi stabilisce la connessione FTP è la macchina che ha l'IP pubblico per cui dovrebbe sempre riuscirci e poi passa le info alla macchina nattata

Capisco.... Grazie x le info !

ecco la configurazione di frox sul mio server epurata dei commenti

Listen 192.168.4.1
Port 3129
BindToDevice eth0
ResolvLoadHack wontresolve.doesntexist.abc
User nobody
Group nogroup
WorkingDir /var/lib/frox
DontChroot Yes
LogLevel 20
LogFile /var/log/frox.log
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
DoNTP no
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *

192.168.4.1 è l'interfaccia di rete locale
notare APConv Yes: tutte le connessioni attive dei client vengono automaticamente trasformate in passive

su iptables ho fatto così (è un riassunto delle mie regole :) )

www:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 20,21,25,53,80,110,22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp !type 8
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:40000:50000 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:40000:50000 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.4.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.4.0/24

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 20,21,25,53,80,110,22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp !type 0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:40000:50000 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:40000:50000 state NEW,RELATED,ESTABLISHED

www:~# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.4.1 0.0.0.0/0
REDIRECT tcp -- 192.168.4.0/24 0.0.0.0/0 tcp dpt:21 redir ports 3129

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.4.1 0.0.0.0/0
SNAT all -- 192.168.4.0/24 0.0.0.0/0 to:62.94.78.208

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

62.94.78.208 è il mio ip pubblico (statico). se hai un ip dinamico DEVI usare il target MASQUERADE nella catena di POSTROUTING.

non ti ho scritto i comandi che generano le regole di questa tabella: te lo lascio per esercizio :ciapet:

....se hai un ip dinamico DEVI usare il target MASQUERADE nella catena di POSTROUTING.

non ti ho scritto i comandi che generano le regole di questa tabella: te lo lascio per esercizio :ciapet:

Gentilissimo :D

Ho risolto....anke se rode non poco dover avere 1 servizio in + solo x questo....

TNK