[Pluto-security] servizio sunrpc

Tom dido@sicurweb.com
Thu, 18 Apr 2002 15:06:30 +0200


Allora, personalmente, io vedo questa situazione come realtivamente sicura=
=20
(escludendo, almeno bugs del server ftp):

client-----------internet-------------------firewall----------ftp server=20
(ip 192.168.1.12)

(quindi il firewall NON =E8 l'ftp server)
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i <eth esterna> -p tcp -d 192.168.1.12  --dport 21 -j=
=20
ACCEPT

(ovviamente prima devi mettere una regola di DNAT..)
La prima regola dice che se una connessione =E8 relativa a una gi=E0=
 stabilita,=20
allora la fa passare. La seconda dice che il tuo ftp server ricever=E0 la=20
richiesta di connessione. La logica quindi =E8: il pacchetto dal client ftp=
=20
arriva al firewall, il quale lo ridirige verso la porta 21 del server ftp.=
=20
Ora il server prova a aprire una porta alta sul client, e la richiesta=20
viene fatta passare xch=E8 correlata. poi il client tenta una connessione=20
passiva, aprendo quindi una porta sul server (anche questo tentativo di=20
connessione viene lasciato passare, visto che =E8 relativo).
A me pare che la logica ci sia, e anche la sicurezza.

Se ci sono dei buchi logici, dimmelo (cmq, a parte errori di battitura o di=
=20
mancanza di documentazione sotto mano, ti assicuro che questa =E8 la config=
=20
dei miei server e funziona...)

Tom


At 14.57 18/04/2002, you wrote:
>Alle 14:47, gioved=EC 18 aprile 2002, hai scritto:
> > Eccerto!! se tu fai una connessione passiva, si apre una porta non
> > riservata anche sul server! Fai una semplice prova, e vedrai!
> > P.S. Credo cmq che la porta >1023 venga aperta solo durante lo scambio=
 di
> > file, e non con la semplice "navigazione" nelle dir..
> > Tom
>
>Ma porc....
>Ma allora non posso filtrare una connessione ftp per bene, dato che le=
 porte
>del server ftp debbono essre lasciate aperte (sia riservate che non), non
>parliamo poi del suo indirizzo indirizzo ip, le connessioni del client al
>massimo possono essere filtrate sopra la 1023...per cui alla fine posso
>mettere solo:
>-p tcp -d/-s la lan di partenza, --sport/dport 1024: (le porte del client),=
 e
>poi ESTABLISHED,RELATED o NEW,ESTABLISHED....
>Non ti sembra un p=F2 poco?
>
>Giuseppe
>
>
>_______________________________________________
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security