Problema con firewall e ftp

[Giacomo]

Salve a tutti, ho un problema con il firewall e FTP. Mi spiego meglio:
Uso dei editor di testo (all'interno della lan) che hanno FTP integrato, e riescono a connettersi tranquillamente, solo che non riescono a visualizzare la lista dei file. In particolare si bloccano ai comando:
syst
215 Unix Unix Type L8


Questo il mio firewall:

Codice:

/sbin/ifconfig eth1 10.0.0.1 netmask 255.255.255.0 up
/sbin/route add -host 255.255.255.255 dev eth1 2> /dev/null

# SCRIPT PER IL MASCHERAMENTO DEI PACCHETTI IP
# caricamento dei moduli del kernel
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_nat
modprobe ipt_MASQUERADE
echo ... carico i moduli del kernel ...
echo
#
# mascheramento dei pacchetti IP
#
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -d ! 10.0.0.0 -j MASQUERADE

echo ... maschero i pacchetti ip ...
echo
#
# maschera tutto quello che non è destinato alla Lan
# imposta iptables per forwardare solo per la sottorete
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -j DROP
echo ...

start-stop-daemon --start --quiet --pidfile $DHCPDPID \
                        --exec /usr/sbin/dhcpd3 -- -q $INTERFACES
                sleep 2

Sapete come posso risolvere?

Ho anche provato ad aprire le porte 20 e 21 (ed infatti un normale programma FTP lavora senza problemi) ma gli editor con FTP integrato non vanno... :cry:

[keltik]

se non ricordo male, devi caricare i moduli per iptables relativi al tracking delle sessioni FTP.

sul wiki, nella guida relativa alla condivisione della connessione, sono indicati i moduli richiesti (un paio).

in alternativa puoi impostare i clients per utilizzare il passive-mode (se lo supportano).

aprire le porte 20 e 21 infatti, non è sufficiente per stabilire connessioni attraverso il firewall (in modalità active, è di fatto il client che tenta di stabilire una connessione con il server su una porta random casuale), ma è sufficiente per utilizzare il passive-mode.

:ciauz:

[Giacomo]

keltik ha scritto:
se non ricordo male, devi caricare i moduli per iptables relativi al tracking delle sessioni FTP.

sul wiki, nella guida relativa alla condivisione della connessione, sono indicati i moduli richiesti (un paio).

in alternativa puoi impostare i clients per utilizzare il passive-mode (se lo supportano).

aprire le porte 20 e 21 infatti, non è sufficiente per stabilire connessioni attraverso il firewall (in modalità active, è di fatto il client che tenta di stabilire una connessione con il server su una porta random casuale), ma è sufficiente per utilizzare il passive-mode.

:ciauz:

Questi i moduli che carico:
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ipt_state
modprobe ipt_limit
modprobe ipt_MASQUERADE

Bastano? Mi puoi dare per favore il link a wiki?

[Giacomo]

Ho risolto...=)

Grazie per la dritta.

Dovevo caricare il modulo "ip_nat_ftp"

ciao e grazie

[keltik]

figurati e scusami se non ho postato direttamente il link, ma spesso rispondo dal lavoro e il dovere mi chiama inesorabile.

:ciauz: