Erro ftp 500 ILLegal Port Command

[marcionugas]

Boa tarde.
Estou tentando conectar em servidor ftp, consigo conectar neste servidor, mas quando dou o comando dir, aparece o erro 500 Illegal Port Command.
Bom, nos utilizamos o proxy com o squid 2.7 rodando e o sistema operacional é o Ubuntu 10.04 server. No servidor, eu conecto normalmente e dou comando dir normalmente, lista tudo que esta la, mas no computador dentro da minha rede local, não lista.
LEMBRANDO:
REDE LOCAL: consigo conectar, mas não consigo fazer nada
SERVIDOR: faço tudo.
Agradeço ajuda de todos.

[marcionugas]

Descobrir o motivo do erro mas nao a solução.
Este ftp é de um banco, preciso liberar a entrada e saida de conexão.
Ou seja, o firewall esta barrando todo tipo de conexão. Por isso que no servidor consigo visualizar os arquivos via ftp.
O ip que tenho que liberar é ex: 200.200.200.25.
Preciso liberar ele no firewall para poder conectar via ftp, lembrando que so a porta nao dá.
Como que faço?

[zekkerj]

tente configurar sua máquina pra fazer o acesso ao FTP em modo passivo.

Lembretes:

1. O Squid tem suporte limitadíssimo a FTP. Você consegue apenas fazer download de arquivos; nada de upload ou funções avançadas.

2. Clientes de FTP em linha de comando não passam pelo Squid.

3. Proxy transparente não funciona com FTP.

EDIT: Se você acha que o problema é de firewall, execute os comandos abaixo e cole o resultado aqui.

sudo iptables -L -v -n
sudo iptables -t nat -L -v -n

[marcionugas]

root@proxy-lacqua:/etc/init.d# sudo iptables -L -v -n
Chain INPUT (policy ACCEPT 7415K packets, 4274M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

Chain FORWARD (policy ACCEPT 12M packets, 7317M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            200.223.0.0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            200.201.0.0/16
   15   672 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
5830 3946K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 9099K packets, 5681M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

[marcionugas]

oot@proxy-lacqua:/etc/init.d# sudo iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 364K packets, 39M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            200.223.0.0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            200.201.0.0/16
  628 33344 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:150.149.148.247:3389
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4323 to:150.149.148.14:4323
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5000 to:150.149.148.14:5000
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4321 to:150.149.148.141:4321
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4322 to:150.149.148.29:4322
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4320 to:150.149.148.141:4320
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            150.149.148.231     tcp dpt:21 to:200.251.219.2

Chain POSTROUTING (policy ACCEPT 61651 packets, 12M bytes)
pkts bytes target     prot opt in     out     source               destination
1471  111K MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  tcp  --  *      *       150.149.148.231      0.0.0.0/0           tcp dpt:21

Chain OUTPUT (policy ACCEPT 443K packets, 31M bytes)
pkts bytes target     prot opt in     out     source               destination

[zekkerj]

O servidor FTP que vc quer acessar é esse listado nas regras de DNAT/MASQUERADE?

Outra coisa, reveja teu firewall, pq da forma como ele está ele não está servindo pra nada --- afinal, de que serve um firewall que não bloqueia nada?

[marcionugas]

Uma informação.
Eu consigo acessar o ftp via Windows explore na estação normalmente.

[marcionugas]

0     0 DNAT       tcp  --  *      *       0.0.0.0/0            150.149.148.231     tcp dpt:21 to:200.251.219.2

Esse ai.

[marcionugas]

O Ip do servidor é esse: 200.251.219.2

[marcionugas]

Só não estou conseguindo conectar agora via prompt.

[marcionugas]

Via prompt na estação, no proxy roda fino.

[marcionugas]

Segue abaixo o script para quem estiver na luta como eu estava::

modprobe ip_conntrack
modprobe ip_nat_ftp

iptables -A INPUT -i ethX -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ethX -p tcp --dport 2631 -j ACCEPT

da rede pra net:

iptables -A FORWARD -o ethX -s rede/mascara -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -o ethX -s rede/mascara -p tcp --dport 2631 -j ACCEPT

[zekkerj]

modprobe ip_conntrack
modprobe ip_nat_ftp

Arrisco dizer que foi isso que resolveu. Seu firewall não é efetivo, sem nenhuma regra de bloqueio nem política DROP.