Rango de puertos en el Firewall por FTP

WinGate Proxy Server and other Qbik products

Switch to full style
Use this forum to post questions relating to WinGate, feature requests, technical or configuration problems
Post a reply
Indice
  • Indice
  • Posts: 32
  • Joined: Sep 12 03 3:20 pm
  • Location: MEXICO
  • Website

Rango de puertos en el Firewall por FTP

Feb 09 04 7:09 am

Hola,

Por medio de un programa específico me conecto via FTP a un servidor para enviar un archivo que es validado y ése servidor me lo regresa de igual forma pero el firewall (de wingate) aparentemente me está bloqueando la conección del servidor remoto con mis máquinas cliente

El puerto 20 y 21 están abiertos en mi Firewall

Por ejemplo:

La IP BBB.BBB.... es la mía y la AAA.AAA.... es del servidor remoto

02/07/04 11:34:15 Authorisation failure: NAT STATUS: firewall block: TCP src
AAA.AAA.AAA.AAA:20 dst BBB.BBB.BBB.BBB:1557

02/07/04 11:34:39 Authorisation failure: NAT STATUS: firewall block: TCP src
AAA.AAA.AAA.AAA:20 dst BBB.BBB.BBB.BBB:1557

02/07/04 11:35:56 Authorisation failure: NAT STATUS: firewall block: TCP src
AAA.AAA.AAA.AAA:20 dst BBB.BBB.BBB.BBB:1579

02/07/04 11:36:42 Authorisation failure: NAT STATUS: firewall block: TCP src
AAA.AAA.AAA.AAA:20 dst BBB.BBB.BBB.BBB:1607

02/07/04 11:36:42 Authorisation failure: NAT STATUS: firewall block: TCP src
AAA.AAA.AAA.AAA:20 dst BBB.BBB.BBB.BBB:1612

"Port Range" aparece en mi firewall y bloquea los puertos 1557, 1559, 1607, 1612, etc.

¿Alguien que pueda ayudarme con esto?

¿Hay alguna manera de hacer un "bypass" en el firewaal para una IP de tal forma que pueda conectarse por cualquier puerto para evitar lo que se puede ver en el ejemplo?

Uso Wingate 5.2.2 y en las máqinas cliente tengo WGIC

Gracias por su ayuda!

Javier GM
trialtester2999

Jul 30 04 2:10 pm

No habla ingles?
Indice
  • Indice
  • Posts: 32
  • Joined: Sep 12 03 3:20 pm
  • Location: MEXICO
  • Website

Jul 30 04 3:36 pm

Hola,

Si, sòlo que preferì poner ese problema en español para ver si habìa alguien que lo hablara y para que de alguna forma supieran que tambièn hablo español...

De donde eres?
javila
  • javila
  • Posts: 93
  • Joined: Nov 13 03 3:43 am
  • Location: Santa Cruz de la Sierra - Bolivia
  • Website

Jul 30 04 4:43 pm

Hola Javier.
Pareciera ser que tu cliente quiere autentificar por otros puertos tambien que no son solo el 20 y el 21, has probado con otro programa? (de ftp) o quiza bajando un rato el firewall?, cuando bajes el firewall anda al log del system y chekeá que puertos abrio para conectarse, eso es lo que hago yo cuando un programa se porta raro.
Saludos
Javier (jeje, somos tocayos = el mismo nombre)
javila
  • javila
  • Posts: 93
  • Joined: Nov 13 03 3:43 am
  • Location: Santa Cruz de la Sierra - Bolivia
  • Website

Jul 30 04 4:49 pm

Hola de nuevo.
Acabo de percatarme que estas mostrando el log del System Messages, en ese caso al parecer tu puerto 21 del wingate esta aceptando solo conexiones autentificadas, podrias bajarte el gatekeeper, y loguear antes de subir tus archivos al servidor para que el wingate te deje pasar, eso tendrias que hacerlo despues de publicar el puerto 808 que es el de control remoto (gatekeeper.exe) que normalmente se usa para controlar o ¨loguear¨ al wingate. Saludos.

Javier
Indice
  • Indice
  • Posts: 32
  • Joined: Sep 12 03 3:20 pm
  • Location: MEXICO
  • Website

Jul 30 04 5:07 pm

Hola Javier,

Gracias por tu respuesta. Te explicaré un poco más la situación.

Con una aplicación de FTP hecha para hacer la validación de pedimentos aduanales, mi gente manda un archivo a un servidor remoto para que sea validado por éste. Una vez validado, el archivo es devuelto por el servidor remoto al mío. El problema, es que al regresar el archivo, el firewall lo bloquea debido a que al parecer viene por algún puerto "cerrado". Si se tratara de autentificación, cómo puedo hacer para que el servidor remoto "se autentifique" como tu mencionas y mi firewall del wingate no le cierre el paso?

Saludos!
javila
  • javila
  • Posts: 93
  • Joined: Nov 13 03 3:43 am
  • Location: Santa Cruz de la Sierra - Bolivia
  • Website

Jul 31 04 2:37 am

Ok Javier,
Por defecto Wingate "publica" su log de sucesos en el puerto 1080 (por ej.: http://el_ip_del_server:8010 o si estas en la misma intranet http://el_nombre_del_server:8010) asi vas a entrar (con tu navegador) a la pagina del wingate donde estan sus logs algunas infos importantes, auditorias de usuarios y.... el gatekeeper.exe que es la aplicacion que sirve para controlar, ver, modificar (si estas de administrador) las configuraciones del wingate. Probá eso para empezar, entra a la pagina y bajate el gatekeeper.exe lo ejecutas y me avisas.

Por otro lado el wingate puede ser manejado via gatekeeper internamente (desde la misma intranet) o externamente (desde internet). Aqui es donde yo te sugiero que la parsona que "logueara" en tu wingate, se baje el gatekeeper, loguée como un usuario que vos asignes con permisos de usuarios nomas (porque otra de las funciones del gatekeeper es autentificar y esa es la que nos interesa), y una vez "logueado" desde internet pueda efectuar las operaciones que vos me explicaste. Esta parte fue la teórica :)

A la practica...

- Tener un usuario llamado acceso_ftp con permisos de usuario, eso lo haces via wingate o NT dependiendo como manejes las autentificaciones en tu wingate.
- "Publicar" el puerto 808 para autentificacion del gatekeeper.exe eso lo haces en la ventana del wingate, System, Remote Control Service >properties>bindings> ubicas que interfase publicar (aqui tenes que decirme que version del wingate usas porque son diferentes metodologias) pero la idea es que le digas que use la interfase de internet por ej. PC_ADSL (asi se llama la mia) y le digas que sea disponible para conexiones externas. Es medio complicado explicarlo, cualquier cosa avisame.
- Acceder via internet usando el gatekeeper.exe que deberá tener el usuario del servidor remoto a tu servidor, llenando:
Username: acceso_ftp
Pass: su_password_asignado
Server: el_ip_de_tu_compu_con_wingate
port: 808 (que viene a ser el puerto que publicaste)

Le das ok y deberia "loguear" en tu server y autentificarse, estando en ese status (valga la redundancia) podra tener acceso a enviar y recibir archivos sin ser molestado por el firewall ya que es como un usuario de la red normal con los permisos normales de un usuario.

PD.: el archivo gatekeeper.exe vas a tener que mandarselo a ese usuario remoto me imagino que via email, ojo el gatekeeper es un componente delicado de la seguridad en wingate, double check con quien y como lo usa ;)
Indice
  • Indice
  • Posts: 32
  • Joined: Sep 12 03 3:20 pm
  • Location: MEXICO
  • Website

Jul 31 04 3:18 am

Hola Tocayo,

Pero en el servidor remoto no hay nadie. Es un equipo que sólo recibe archivos, los valida y los devuelve.

Aún asi debo buscar la forma para que se firme ese servidor?

Saludos!
javila
  • javila
  • Posts: 93
  • Joined: Nov 13 03 3:43 am
  • Location: Santa Cruz de la Sierra - Bolivia
  • Website

Jul 31 04 4:12 am

Todo apunta a que es un problema de autentificacion. Sí, deberia firmar para empezar a encontrar una solucion, basandonos en que si no autentifica bien no va a poder pasar el firewall.
Ese servidor usa una IP fija? si fuera asi entonces podes crearle una asumsion de que ese IP es un usuario y de esa manera autentificarlo. A partir de ahi podrias seguir probando la solucion. Avisame.

Podriamos ponernos en contacto por email (mas rapido) o por MSN Messenger si te parece, tengo interes en el tema porque estoy pensando hacer lalgo parecido.

Javier A.
Post a reply
Switch to full style

Powered by phpBB © phpBB Group.

phpBB Mobile / SEO by Artodia.

Board index