El objetivo de este post es resolver cierto problema con los permisos que se configuran en nuestro firewall con iptables para el FTP pasivo. Que básicamente no funcionan.
El FTP pasivo se beneficia de las reglas para tráfico "de respuesta" que identificamos mediante el módulo conntrack
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPTEn nuestra cadena FORWARD de FILTER al hablar de nuestro firewall; esto, una vez que hayamos cargado el módulo ip_conntrack_ftp y, hasta donde entiendo, nf_nat_ftp.
modprobe nf_nat_ftp modprobe ip_conntrack_ftpPara hacerlo permanente:
sed -i '$a ip_conntrack_ftp\nnf_nat_ftp ' /etc/modulesAún con eso sigue sin funcionar. La solución la encontré en Iptables to allow incoming FTP: Debe configurarse el kernel con net.netfilter.nf_conntrack_helper=1. Yo soy más de la idea de ponerlo directamente en /etc/sysctl.conf, pero en realidad puede ir al gusto:
sed -i '$a net.netfilter.nf_conntrack_helper=1' /etc/sysctl.conf
No hay comentarios:
Publicar un comentario