De Firehol a Iptables?

[hugo]

A ver, dejame aclarar un detalle que no había mencionado por consderarlo obvio:

En la configuración de los clientes de tu LAN, la dirección IP que debes utilizar para acceder a los servicios FTP o Jabber no es la direccion de tu propio servidor en la subred interna, sino la IP del servidor externo, es decir, la 172.16.1.2 según parece. ¿Lo estás haciendo así?

[JuancaDJ]

HOMBREEE!!! haberlo dicho antes! ajajaja pues ese era el problema que yo ponia la ip de mi firewall y no donde estaba hospedado el servicio. Un millon de gracias problema ya resuelto, quizas hasta con el firehol hubiera resuelto, pero al final se un poquitin mas de iptables que si nunca lo hubiera intentado ejejee. Nuevamente un millon de gracias

[hugo]

Me alegra haber podido serte de ayuda. Para eso fundamos GUTL, para ayudarnos entre todos.

[JuancaDJ]

Y me alegra que un foro asi este fundado dentro de la red cubana. Que cada dia crezca mas y se mantenga por muucho tiempo. Nuevamente gracias

[hugo]

Ah pero es que el foro es solo uno de los servicios de GUTL. También tenemos el Blog, la Wiki y la lista, que por cierto es bastante más activa que el foro, pero recientemente estamos teniendo algunas dificultades técnicas para administrarla.

[JuancaDJ]

Bueno 2 de los 3 servicios que mencionas ya los conocia, pero la lista si la desconocia por completo, le hechare un vistazo al link que me posteaste para inscribirme
Por cierto que diferencias tienen forward y dnat?, segun he mirado son prácticamente lo mismo o no ??

[hugo]

La suscripción a la lista de momento es imposible porque desde que se migró ese servicio del nodo de Tinored a la nube de Etecsa está teniendo dificultades técnicas, que aun no se han solucionado.

FORWARD es una cadena de la tabla filter, es decir, es la manera de filtrar paquetes que pasan por el cortafuegos pero ni se originan ni se destinan a el mismo, mientras que MASQUERADE, SNAT y DNAT son variantes de traducción de direcciones IP en la tabla nat. No son lo mismo. SNAT y MASQUERADE se usan para permitir a un equipo con una ip reservada de una subred interna el acceso a equipos de una subred externa, y DNAT para algo similar pero en el sentido contrario.

[JuancaDJ]

Si ya estuve intentando acceder al link para inscribirme en la lista y esta caído
Sobre la explicación que me das ya comprendo mejor esas terminaciones, y según tenga que implementarlas entonces conoceré mejor su funcionamiento. Una vez mas gracias

[JuancaDJ]

Nuevamente YO e IPTABLES ufff!!
Estoy teniendo serios problemas para conectarme al ftp, ya que logro conectarme bien, el problema viene a la hora de listar los directorios, he aqui el ejemplo:

Código: Seleccionar todo

Estado:	Conectado
Estado:	Recuperando el listado del directorio...
Comando:	PWD
Respuesta:	257 "/" is your current location
Comando:	TYPE I
Respuesta:	200 TYPE is now 8-bit binary
Comando:	PORT 172,16,13,18,235,29
Respuesta:	200 PORT command successful
Comando:	MLSD
Error:	Conexión superó el tiempo de espera
Error:	Error al recuperar el listado del directorio

El problema es que mis politicas por defectos son:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Y al parecer a la hora de listar los directorio del ftp el lo hace mediante otros puertos, que estos quedan innaccesibles por mi politica de INPUT DROP, sin embargo cuando la cambio a ACCEPT todo funsiona de maravillas

[hugo]

Las políticas de denegación por defecto son más seguras, pues en ese caso se descarta cualquier paquete que no se acepte o rechace explícitamente en alguna de las reglas que tienes. Si pones ACCEPT como política por defecto, los paquetes pasan a menos que lo impidas explícitamente, lo que implica que tienes que crear no pocas reglas para cubrir y denegar todas las posibilidades de acceso que no necesites, y si no conoces bien todo lo relacionado a servicios, protocolos, puertos y demás, existe el riesgo de dejar alguna vulnerabilidad. De todas formas como ya te he dicho antes, la cadena INPUT solo afecta a lo que entra en el propio cortafuegos, no a lo que pasa a traves de el con otro destino, por lo que me extraña mucho que cambiando la política de la cadena INPUT hayas conseguido alguna diferencia.

FTP es un protocolo antiguo, inseguro e innecesariamente complejo para los cortafuegos, que es por lo que actualmente se usa bien poco a nivel mundial, y se prefiere SFTP, SCP o RSYNC. Hay dos modalidades de FTP, Activo y Pasivo, y si el servidor implementa una el cliente puede tener dificultades comunicándose con otra. Hay sitios como este que explican bien la diferencia.

Entre las reglas preliminares que te propuse, estaba esta:

Código: Seleccionar todo

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Esa regla quiere decir que se permitan las conexiones establecidas y también las nuevas conexiones relacionadas a estas aunque sean por otros puertos. Se supone que con eso ambas modalidades de FTP deberían funcionar, de modo que quizas necesites revisar la configuración de tu cliente FTP y cambiar entre modo activo y pasivo.

Si en tus clientes usas Windows te recomiendo FileZilla, es libre y además muy bueno y configurable, si mal no recuerdo permite cambiar la modalidad de FTP globalmente o incluso por sitio.

Igual podrías probar intentar acceder al FTP por consola y ejecutar el comando PASV antes de hacer cualquier listado.