-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 jose maria, escribió:
Jesus Martinez Camejo, escribió:
Gracias probare pero me es necesario que me aclararan cual es la funcion de estos modulos y como se comprueba y se cargan, en caso de no estar.
* Normalmente los carga el script de iptables, es decir el cortafuegos donde se especifican, que modulos hay que cargar, los modulos cargados en memoria se listan con el comando /sbin/lsmod y para cargar modulos manualmente /sbin/modprobe modulo parametros (si los hubiere por ejemplo para ciertos dispositivos) tambien con /sbin/insmod , para descargarlos /sbin/rmmod modulo. * Los modulos descritos proporcionan relacion de conectividad entre servidor y cliente a las aplicaciones que usan el infame protocolo ftp, que intenta abrir local y remotamente puertos indiscriminadamente y sin ninguna relacion o coherencia, imprescindible si se esta detras de cortafuegos con politica por defecto DROP (Todo esta prohibido salvo aquello explicitamente permitido) tipicamente en Gateways bastionizados haciendo NAT o PAT.
Bueno el ftp Pasivo es el implicito, creo que no hay que hacer nada o me equivoco? Quisiera ademas consultarle lo siguiente probe con el MC desde linux hacer ftp sin pasar por el proxy (squid) y se conecta,
* Depende del cliente ftp, man ncftp , man lukemftp, verifiquelo, en los clientes windows no fue asi con anterioridad, iniciaban conexion activa. * Seguramente mc si usa el modo pasivo, o squid no tiene los puertos altos allow, o no esta compilado para ftp, verifique la seccion acl controls del fichero squid.conf, deshabilite el proxy y pruebe con todos los clientes del servidor, navegadores, clientes ftp, etc, "con la misma configuraciòn en todos los clientes", no parece que use cortafuegos, por tanto pase al siguiente punto, habilite squid y empiece a probar, a estas alturas ya deberia ver diferencias significativas, si en las mismas circunstancias unos si conectan y otros no , son diferencias de configuracion en los clientes.
................................................................. aunque si trato de hacer ftp directamente desde el promt del servidor aunque se conecta da time out cuando se da cualquier comando, como explicaba anteriormente.
* No apunta la distribucion que usa, tenga en cuenta que se puede especificar un proxy para las aplicaciones de consola que lo soporten, por ejemplo en distribuciones modernas en /etc/sysconfig/proxy , para avegadores de texto, links, mc , etc. por lo que puede estar usando proxy sin enterarse, una herramienta que debe tener siempre instalada en un servidor es iptraf o ethereal para modo grafico, con las que vera todo el trafico , estadisticas y como se produce, con lo que puede depurar cualquier anomalia, ya que puede no tener nada que ver con esto, como vera en el siguiente apartado.
Ahora bien yo tengo un proxy, el squid, en el servidor y desde maquinas que estan en mi red interna con el internet explorer logro conectarme a este sitio ftp, pero cuando trato de usar cualquier otro programa cliente ftp ni siquiera se conecta. Es este problema generado por lo mismo?
* Para testear el problema se deben reproducir situaciones iguales, ha probado desde un navegador desde linux a hacer lo mismo, esta seguro que los navegadores y clientes ftp estan usando el proxy en todas las circunstancias, tenga en cuenta, que a menos que el kernel y squid esten configurados como proxy transparente los clientes necesitan configuracion, y en todos los casos debe incluir reglas iptables para que todas las peticiones a los puertos 80 y 21 remotos y todos aquellos que squid soporte y quiera proxyficar, sean redirigidos al puerto donde escuche squid, si no navegarán por donde quiera quien este sentado delante de ellos, si el enmascaramiento y el reenvio de paquetes esta activado. * Depende de la version de squid, pero se recomienda compilarlo con la opcion ftp, y los puertos altos deben estar abiertos, como proxy ftp tiene opciones mejores, por ejemplo frox que puede trabajar como proxy transparente o reconvertir la peticion en http y enviarla a squid, ademas puede especificar rangos de puertos para activo-pasivo-data y no cachear los objetos , con lo que puede establecer cortafuegos complejos. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/WocJAXFL65CppEIRAripAJ9grKQnf71L4NtKZ0c5yjWRtwox2QCdFYdD GijgzCHRbu19K4POYXa3koA= =vALh -----END PGP SIGNATURE-----