[Pluto-security] servizio sunrpc

Giuseppe Andreola descart@tin.it
Thu, 18 Apr 2002 15:32:16 +0200


> Allora, personalmente, io vedo questa situazione come realtivamente sicura
> (escludendo, almeno bugs del server ftp):
>
> client-----------internet-------------------firewall----------ftp server
> (ip 192.168.1.12)
>
> (quindi il firewall NON è l'ftp server)
> iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i <eth esterna> -p tcp -d 192.168.1.12  --dport 21 -j
> ACCEPT
>
> (ovviamente prima devi mettere una regola di DNAT..)
> La prima regola dice che se una connessione è relativa a una già stabilita,
> allora la fa passare. La seconda dice che il tuo ftp server riceverà la
> richiesta di connessione. La logica quindi è: il pacchetto dal client ftp
> arriva al firewall, il quale lo ridirige verso la porta 21 del server ftp.
> Ora il server prova a aprire una porta alta sul client, e la richiesta
> viene fatta passare xchè correlata. poi il client tenta una connessione
> passiva, aprendo quindi una porta sul server (anche questo tentativo di
> connessione viene lasciato passare, visto che è relativo).
> A me pare che la logica ci sia, e anche la sicurezza.

Mi sembra allora che anche per te una regola generale RELATED,ESTABLISHED 
possa essere considerata più un bene che una male, nell'ottica della 
connessione stateful (che forse per me è ancora ostica da utilizzare o da 
semplicemente considerare come affidabile), ma a parte questo le conclusioni 
sono simili a quelle che ho ottenuto io (l'ho postato martedì pomeriggio, ma 
non lo trovo), mettendo la prima regola si evita tutto lo specificare di 
protocolli e porte interessate e sulla seconda basta specificare al max la -s 
nattata e siamo a posto...
Comunque ci debbo pensare un pò sù

Giuseppe