amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
IPTABLE-SAVE [root@xeon squid]# iptables-save # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *mangle :PREROUTING ACCEPT [81554731:45935143966] :INPUT ACCEPT [71344510:41716336442] :FORWARD ACCEPT [10175480:4216524496] :OUTPUT ACCEPT [75822741:44330541946] :POSTROUTING ACCEPT [85748172:48529137407] COMMIT # Completed on Fri Nov 13 10:10:38 2009 # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *nat :PREROUTING ACCEPT [787179:52922477] :POSTROUTING ACCEPT [4202374:263842377] :OUTPUT ACCEPT [4205329:264793510] -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "ACESSO SSH INVALIDO " -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix "ACESSO SSH VALIDO " -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix "ACESSO WINBOX " -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix "ACESSO TERMINAL REMOTO WIN " -A PREROUTING -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5222 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5223 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5050 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 6667 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 8074 -j REDIRECT --to-ports 16667 -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 -A PREROUTING -s 10.1.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 -A PREROUTING -p tcp -m tcp --dport 21 -j LOG --log-prefix "ACESSO-FTP 1: " -A PREROUTING -p tcp -m tcp --dport 21 -j ACCEPT -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A PREROUTING -i eth2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE -A POSTROUTING -s 10.1.1.0/255.255.255.0 -j MASQUERADE COMMIT # Completed on Fri Nov 13 10:10:38 2009 # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *filter :INPUT ACCEPT [71344513:41716336648] :FORWARD ACCEPT [9925408:4198594581] :OUTPUT ACCEPT [75822716:44330539614] -A FORWARD -m layer7 --l7proto bittorrent -j DROP -A FORWARD -m layer7 --l7proto gnutella -j DROP -A FORWARD -m layer7 --l7proto edonkey -j DROP -A FORWARD -m layer7 --l7proto directconnect -j DROP -A FORWARD -m layer7 --l7proto napster -j DROP -A FORWARD -m layer7 --l7proto soulseek -j DROP -A FORWARD -m layer7 --l7proto fasttrack -j DROP -A FORWARD -m layer7 --l7proto ares -j DROP -A FORWARD -m layer7 --l7proto httpvideo -j DROP -A FORWARD -m layer7 --l7proto skypeout -j DROP -A FORWARD -m layer7 --l7proto skypetoskype -j DROP -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP COMMIT # Completed on Fri Nov 13 10:10:38 2009
alguem poderia me dar uma luz ???
Não pude encontrar a porta 21, o que sera que tem na porta 21?
2009/11/13 Wagner Quedi wagner@quedinet.com.br
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
IPTABLE-SAVE [root@xeon squid]# iptables-save # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *mangle :PREROUTING ACCEPT [81554731:45935143966] :INPUT ACCEPT [71344510:41716336442] :FORWARD ACCEPT [10175480:4216524496] :OUTPUT ACCEPT [75822741:44330541946] :POSTROUTING ACCEPT [85748172:48529137407] COMMIT # Completed on Fri Nov 13 10:10:38 2009 # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *nat :PREROUTING ACCEPT [787179:52922477] :POSTROUTING ACCEPT [4202374:263842377] :OUTPUT ACCEPT [4205329:264793510] -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "ACESSO SSH INVALIDO " -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix "ACESSO SSH VALIDO " -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix "ACESSO WINBOX " -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix "ACESSO TERMINAL REMOTO WIN " -A PREROUTING -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5222 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5223 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 5050 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 6667 -j REDIRECT --to-ports 16667 -A PREROUTING -p tcp -m tcp --dport 8074 -j REDIRECT --to-ports 16667 -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 -A PREROUTING -s 10.1.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 -A PREROUTING -p tcp -m tcp --dport 21 -j LOG --log-prefix "ACESSO-FTP 1: " -A PREROUTING -p tcp -m tcp --dport 21 -j ACCEPT -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A PREROUTING -i eth2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE -A POSTROUTING -s 10.1.1.0/255.255.255.0 -j MASQUERADE COMMIT # Completed on Fri Nov 13 10:10:38 2009 # Generated by iptables-save v1.3.5 on Fri Nov 13 10:10:38 2009 *filter :INPUT ACCEPT [71344513:41716336648] :FORWARD ACCEPT [9925408:4198594581] :OUTPUT ACCEPT [75822716:44330539614] -A FORWARD -m layer7 --l7proto bittorrent -j DROP -A FORWARD -m layer7 --l7proto gnutella -j DROP -A FORWARD -m layer7 --l7proto edonkey -j DROP -A FORWARD -m layer7 --l7proto directconnect -j DROP -A FORWARD -m layer7 --l7proto napster -j DROP -A FORWARD -m layer7 --l7proto soulseek -j DROP -A FORWARD -m layer7 --l7proto fasttrack -j DROP -A FORWARD -m layer7 --l7proto ares -j DROP -A FORWARD -m layer7 --l7proto httpvideo -j DROP -A FORWARD -m layer7 --l7proto skypeout -j DROP -A FORWARD -m layer7 --l7proto skypetoskype -j DROP -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP COMMIT # Completed on Fri Nov 13 10:10:38 2009
alguem poderia me dar uma luz ???
-- Muitas pessoas poderiam ter sucesso em pequenas coisas se não se deixassem atormentar por grandes ambições!
Wagner Quedi Rosa .·. QuediNet Internet Service Soluções Inteligentes em T.I.
Fone: (69) 8403-1158 Skype: wagner_quedi E-Mail/MSN: wagner@quedinet.com.br Site: www.quedinet.com.br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Existem dois tipos de FTP, ativo e passivo.
Passivo utiliza somente uma porta 21 e ativo portas 20 e 21
Veja de seu fw contempla isso
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
Tentando acessar local, ou externo?
Se externo, qual provedor de acesso?
Se local, ftp://ip:21
At.,
2009/11/13 Toledo, Luis Carlos lscrlstld@gmail.com
Existem dois tipos de FTP, ativo e passivo.
Passivo utiliza somente uma porta 21 e ativo portas 20 e 21
Veja de seu fw contempla isso
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
via filezilla aparece isso
Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message... Error: Connection timed out Error: Could not connect to server Status: Waiting to retry... Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message...
2009/11/13 Ciro Brandão cirobrandao@gmail.com:
Tentando acessar local, ou externo? Se externo, qual provedor de acesso? Se local, ftp://ip:21 At.,
2009/11/13 Toledo, Luis Carlos lscrlstld@gmail.com
Existem dois tipos de FTP, ativo e passivo.
Passivo utiliza somente uma porta 21 e ativo portas 20 e 21
Veja de seu fw contempla isso
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Att.,
Ciro M. Brandão
CONTATO Cel.: +55 (75) 8835-1778 MSN: cirobrandao@gmail.com Skype: ciro.uwc32
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
ta sim .. segue aqui o firewall
#! /bin/sh
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z
modprobe iptable_nat modprobe iptable_filter modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe ipt_layer7
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix="ACESSO SSH INVALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix="ACESSO SSH VALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix="ACESSO WINBOX " #iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j LOG --log-prefix="ACESSO FTP " iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix="ACESSO TERMINAL REMOTO WIN "
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP iptables -A FORWARD -m layer7 --l7proto napster -j DROP iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP iptables -A FORWARD -m layer7 --l7proto ares -j DROP iptables -A FORWARD -m layer7 --l7proto httpvideo -j DROP iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
#imspector # MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667 # Jabber: iptables -t nat -A PREROUTING -p tcp --destination-port 5222 -j REDIRECT --to-ports 16667 # Jabber over SSL: iptables -t nat -A PREROUTING -p tcp --destination-port 5223 -j REDIRECT --to-ports 16667 # ICQ/AIM: iptables -t nat -A PREROUTING -p tcp --destination-port 5190 -j REDIRECT --to-ports 16667 # Yahoo: iptables -t nat -A PREROUTING -p tcp --destination-port 5050 -j REDIRECT --to-ports 16667 # IRC: iptables -t nat -A PREROUTING -p tcp --destination-port 6667 -j REDIRECT --to-ports 16667 # Gadu-Gadu: iptables -t nat -A PREROUTING -p tcp --destination-port 8074 -j REDIRECT --to-ports 16667
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128 iptables -t nat -A PREROUTING -p tcp -s 10.1.1.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 21 -j LOG --log-prefix="ACESSO-FTP 1: " iptables -t nat -A PREROUTING -p tcp --dport 21 -j ACCEPT
# redirecionamentos de portas # MK iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 # ISS iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161
2009/11/13 Bruno L F Cabral bruno@openline.com.br:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
Ja viu se falta
modprobe nf_nat_ftp modprobe nf_conntrack_ftp
??
!3runo _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
*VELOX, e alguns provedores ADSL bloqueia algumas portas padrões, exemplo a porta 21*.
2009/11/13 Wagner Quedi wagner@quedinet.com.br
ta sim .. segue aqui o firewall
#! /bin/sh
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z
modprobe iptable_nat modprobe iptable_filter modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe ipt_layer7
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix="ACESSO SSH INVALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix="ACESSO SSH VALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix="ACESSO WINBOX " #iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j LOG --log-prefix="ACESSO FTP " iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix="ACESSO TERMINAL REMOTO WIN "
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP iptables -A FORWARD -m layer7 --l7proto napster -j DROP iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP iptables -A FORWARD -m layer7 --l7proto ares -j DROP iptables -A FORWARD -m layer7 --l7proto httpvideo -j DROP iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
#imspector # MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667 # Jabber: iptables -t nat -A PREROUTING -p tcp --destination-port 5222 -j REDIRECT --to-ports 16667 # Jabber over SSL: iptables -t nat -A PREROUTING -p tcp --destination-port 5223 -j REDIRECT --to-ports 16667 # ICQ/AIM: iptables -t nat -A PREROUTING -p tcp --destination-port 5190 -j REDIRECT --to-ports 16667 # Yahoo: iptables -t nat -A PREROUTING -p tcp --destination-port 5050 -j REDIRECT --to-ports 16667 # IRC: iptables -t nat -A PREROUTING -p tcp --destination-port 6667 -j REDIRECT --to-ports 16667 # Gadu-Gadu: iptables -t nat -A PREROUTING -p tcp --destination-port 8074 -j REDIRECT --to-ports 16667
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128 iptables -t nat -A PREROUTING -p tcp -s 10.1.1.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 21 -j LOG --log-prefix="ACESSO-FTP 1: " iptables -t nat -A PREROUTING -p tcp --dport 21 -j ACCEPT
# redirecionamentos de portas # MK iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 # ISS iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161
2009/11/13 Bruno L F Cabral bruno@openline.com.br:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
Ja viu se falta
modprobe nf_nat_ftp modprobe nf_conntrack_ftp
??
!3runo _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Muitas pessoas poderiam ter sucesso em pequenas coisas se não se deixassem atormentar por grandes ambições!
Wagner Quedi Rosa .·. QuediNet Internet Service Soluções Inteligentes em T.I.
Fone: (69) 8403-1158 Skype: wagner_quedi E-Mail/MSN: wagner@quedinet.com.br Site: www.quedinet.com.br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
nao é esse o caso, é um link dedicado de 1MB BrasilTelecom/Oi
2009/11/13 Ciro Brandão cirobrandao@gmail.com:
VELOX, e alguns provedores ADSL bloqueia algumas portas padrões, exemplo a porta 21.
2009/11/13 Wagner Quedi wagner@quedinet.com.br
ta sim .. segue aqui o firewall
#! /bin/sh
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z
modprobe iptable_nat modprobe iptable_filter modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe ipt_layer7
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix="ACESSO SSH INVALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix="ACESSO SSH VALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix="ACESSO WINBOX " #iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j LOG --log-prefix="ACESSO FTP " iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix="ACESSO TERMINAL REMOTO WIN "
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP iptables -A FORWARD -m layer7 --l7proto napster -j DROP iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP iptables -A FORWARD -m layer7 --l7proto ares -j DROP iptables -A FORWARD -m layer7 --l7proto httpvideo -j DROP iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
#imspector # MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667 # Jabber: iptables -t nat -A PREROUTING -p tcp --destination-port 5222 -j REDIRECT --to-ports 16667 # Jabber over SSL: iptables -t nat -A PREROUTING -p tcp --destination-port 5223 -j REDIRECT --to-ports 16667 # ICQ/AIM: iptables -t nat -A PREROUTING -p tcp --destination-port 5190 -j REDIRECT --to-ports 16667 # Yahoo: iptables -t nat -A PREROUTING -p tcp --destination-port 5050 -j REDIRECT --to-ports 16667 # IRC: iptables -t nat -A PREROUTING -p tcp --destination-port 6667 -j REDIRECT --to-ports 16667 # Gadu-Gadu: iptables -t nat -A PREROUTING -p tcp --destination-port 8074 -j REDIRECT --to-ports 16667
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128 iptables -t nat -A PREROUTING -p tcp -s 10.1.1.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 21 -j LOG --log-prefix="ACESSO-FTP 1: " iptables -t nat -A PREROUTING -p tcp --dport 21 -j ACCEPT
# redirecionamentos de portas # MK iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 # ISS iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161
2009/11/13 Bruno L F Cabral bruno@openline.com.br:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
Ja viu se falta
modprobe nf_nat_ftp modprobe nf_conntrack_ftp
??
!3runo _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Muitas pessoas poderiam ter sucesso em pequenas coisas se não se deixassem atormentar por grandes ambições!
Wagner Quedi Rosa .·. QuediNet Internet Service Soluções Inteligentes em T.I.
Fone: (69) 8403-1158 Skype: wagner_quedi E-Mail/MSN: wagner@quedinet.com.br Site: www.quedinet.com.br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Att.,
Ciro M. Brandão
CONTATO Cel.: +55 (75) 8835-1778 MSN: cirobrandao@gmail.com Skype: ciro.uwc32
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
*Uma perguntinha, babaca... é somente o FTP que você não esta consegue acessar externa mente?* * * 2009/11/13 Wagner Quedi wagner@quedinet.com.br
nao é esse o caso, é um link dedicado de 1MB BrasilTelecom/Oi
2009/11/13 Ciro Brandão cirobrandao@gmail.com:
VELOX, e alguns provedores ADSL bloqueia algumas portas padrões, exemplo
a
porta 21.
2009/11/13 Wagner Quedi wagner@quedinet.com.br
ta sim .. segue aqui o firewall
#! /bin/sh
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z
modprobe iptable_nat modprobe iptable_filter modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe ipt_layer7
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 -j LOG --log-prefix="ACESSO SSH INVALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2123 -j LOG --log-prefix="ACESSO SSH VALIDO " iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8291 -j LOG --log-prefix="ACESSO WINBOX " #iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j LOG --log-prefix="ACESSO FTP " iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j LOG --log-prefix="ACESSO TERMINAL REMOTO WIN "
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP iptables -A FORWARD -m layer7 --l7proto napster -j DROP iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP iptables -A FORWARD -m layer7 --l7proto ares -j DROP iptables -A FORWARD -m layer7 --l7proto httpvideo -j DROP iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
#imspector # MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667 # Jabber: iptables -t nat -A PREROUTING -p tcp --destination-port 5222 -j REDIRECT --to-ports 16667 # Jabber over SSL: iptables -t nat -A PREROUTING -p tcp --destination-port 5223 -j REDIRECT --to-ports 16667 # ICQ/AIM: iptables -t nat -A PREROUTING -p tcp --destination-port 5190 -j REDIRECT --to-ports 16667 # Yahoo: iptables -t nat -A PREROUTING -p tcp --destination-port 5050 -j REDIRECT --to-ports 16667 # IRC: iptables -t nat -A PREROUTING -p tcp --destination-port 6667 -j REDIRECT --to-ports 16667 # Gadu-Gadu: iptables -t nat -A PREROUTING -p tcp --destination-port 8074 -j REDIRECT --to-ports 16667
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128 iptables -t nat -A PREROUTING -p tcp -s 10.1.1.0/24 -d 0.0.0.0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 21 -j LOG --log-prefix="ACESSO-FTP 1: " iptables -t nat -A PREROUTING -p tcp --dport 21 -j ACCEPT
# redirecionamentos de portas # MK iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8291 -j DNAT --to-destination 10.1.1.2 # ISS iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161 iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.161
2009/11/13 Bruno L F Cabral bruno@openline.com.br:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
Ja viu se falta
modprobe nf_nat_ftp modprobe nf_conntrack_ftp
??
!3runo _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Muitas pessoas poderiam ter sucesso em pequenas coisas se não se deixassem atormentar por grandes ambições!
Wagner Quedi Rosa .·. QuediNet Internet Service Soluções Inteligentes em T.I.
Fone: (69) 8403-1158 Skype: wagner_quedi E-Mail/MSN: wagner@quedinet.com.br Site: www.quedinet.com.br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Att.,
Ciro M. Brandão
CONTATO Cel.: +55 (75) 8835-1778 MSN: cirobrandao@gmail.com Skype: ciro.uwc32
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Muitas pessoas poderiam ter sucesso em pequenas coisas se não se deixassem atormentar por grandes ambições!
Wagner Quedi Rosa .·. QuediNet Internet Service Soluções Inteligentes em T.I.
Fone: (69) 8403-1158 Skype: wagner_quedi E-Mail/MSN: wagner@quedinet.com.br Site: www.quedinet.com.br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
eh problema de ftp passivo... o software cliente precisa enviar um comando para ativar o modo passivo..
"QUOTE PASV"
isso resolve.. faça um tesste simples:
ftp ftp.servidor
coloque login e senha..
e depois digite
quote pasv
e tente dar um ls -l .. etc etc
On Fri, 13 Nov 2009 11:45:24 -0400, Wagner Quedi wagner@quedinet.com.br wrote:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
via filezilla aparece isso
Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message... Error: Connection timed out Error: Could not connect to server Status: Waiting to retry... Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message...
2009/11/13 Ciro Brandão cirobrandao@gmail.com:
Tentando acessar local, ou externo? Se externo, qual provedor de acesso? Se local, ftp://ip:21 At.,
2009/11/13 Toledo, Luis Carlos lscrlstld@gmail.com
Existem dois tipos de FTP, ativo e passivo.
Passivo utiliza somente uma porta 21 e ativo portas 20 e 21
Veja de seu fw contempla isso
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Att.,
Ciro M. Brandão
CONTATO Cel.: +55 (75) 8835-1778 MSN: cirobrandao@gmail.com Skype: ciro.uwc32
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
o problema é que nem no filezilla nem no IE / Chrome / Firefox ta abrindo o ftp ..
e se ligo o pc diretamente no roteador ele vai blz.
a url é a seguinte
ftp://ftp.datasus.gov.br/cnes/Versoes-Fces-Nacional/SCNES2350-COMPLETA.zip
2009/11/13 Alexandre J. Correa - Onda Internet alexandre@ondainternet.com.br:
eh problema de ftp passivo... o software cliente precisa enviar um comando para ativar o modo passivo..
"QUOTE PASV"
isso resolve.. faça um tesste simples:
ftp ftp.servidor
coloque login e senha..
e depois digite
quote pasv
e tente dar um ls -l .. etc etc
On Fri, 13 Nov 2009 11:45:24 -0400, Wagner Quedi wagner@quedinet.com.br wrote:
seguinte .. a rede interna 10.1.1.0/24 e a rede 192.168.0.0/24 precisam ter acesso a ftp externo (datasus) so que nao conecta
via filezilla aparece isso
Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message... Error: Connection timed out Error: Could not connect to server Status: Waiting to retry... Status: Resolving address of ftp.datasus.gov.br Status: Connecting to 189.28.143.164:21... Status: Connection established, waiting for welcome message...
2009/11/13 Ciro Brandão cirobrandao@gmail.com:
Tentando acessar local, ou externo? Se externo, qual provedor de acesso? Se local, ftp://ip:21 At.,
2009/11/13 Toledo, Luis Carlos lscrlstld@gmail.com
Existem dois tipos de FTP, ativo e passivo.
Passivo utiliza somente uma porta 21 e ativo portas 20 e 21
Veja de seu fw contempla isso
amigos, gostaria de uma ajuda de vcs para tentar entender pq FTP nao passa por esse firewall nem via internet explorer / firefox nem via filezilla
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Att.,
Ciro M. Brandão
CONTATO Cel.: +55 (75) 8835-1778 MSN: cirobrandao@gmail.com Skype: ciro.uwc32
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Sds.
Alexandre Jeronimo Correa
Onda Internet www.onda.net.br
IPV6 Ready ! www.ipv6.onda.net.br _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
discuss-pt-br@lists.centos.org
-
Alexandre J. Correa - Onda Internet -
Bruno L F Cabral -
Ciro Brandão -
Toledo, Luis Carlos -
Wagner Quedi