-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-21 a las 11:06 +0100, Marcos Arias Velázquez escribió:
Si, tengo idea, pero no estoy seguro de como se resuelve. El protocolo ftp es puñetero: en modo activo da problemas en el cliente, y en pasivo en el servidor. Elige tu veneno.
*Bueno, creo que el veneno ya lo tengo elegido, el servidor tiene que ser pasivo, para no tener que tocar nada en los clientes
Es una frase hecha del inglés, que significa más o menos que tienes varias opciones malas, y que te quedes con la que menos te disguste...
Bueno, ya he pasado el iptraf y este es el resultado que obtengo conectandome desde una maquina de la red local y con filtrando solo las conexiones de esta maquina:
Si, ya veo el problema. Me lo sospechaba, pero no estaba seguro. Tienes una conexión entrante (y aleatoria) en los puertos altos, y no puedes saber en que puerto va a entrar a priori, porque el número de puerto se negocia en la conexión de control que va en el 21. En el cortafuegos tienes la opción de dejar abiertos todos los puertos altos (¡BUFF!), o ver si hay alguna historia para que el cortafuegos siga el estado de las conexiones ftp y sepa que puerto tiene que abrir. ¿Existe eso? Supongo... pero no se como se hace. Creo que eso lo lleva el módulo "ftp conntrack". A ver si alguno de los que están por aquí que saben de iptables lo sabe. Una manera que tengo en un documento, un howto del susefirewall, pero ya anticuado, dice: | Configurando su servidor para permitir clientes pasivos | | La manera recomendada para permitir a su servidor FTP manejar | clientes pasivos es configurarlo para usar un cierto rango de | puertos, y únicamente rebajar las restricciones del cortafuegos | para esos puertos. | | Si instala la aplicación proxy-suite | desde su SuSE CD /DVD también usará las | capacidades proxy {**} así como restricción de puertos | aumentando la seguridad Es decir, tendrías que ver en el manual del vsftpd si es posible decirle que para conexiones pasivas unicamente use unos ciertos puertos altos, y dejarlos abiertos en el cortafuegos. No se si lo admite, y tampoco se si el resto de aplicaciones respetarán y no usarán esos puertos.
FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" para ver todo lo que rechaza.
OK, veo todo lo que rechaza en /var/log/warm pero tras un intento de conexión no muestra ningun mensage, es decir, es como si el cortafuegos no rechace nada.
Tienes que recargarlo después de cambiar esas variables. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD0jM8tTMYHG2NR9URAuZxAJ9RE6ub6z/EYqvIVSKFl/MalZ2SRwCeM0ex Zbs837jF/gaxPFVCAdraROs= =NfkN -----END PGP SIGNATURE-----