[Pluto-security] Ftp-Server

Beppe beppebz@tin.it
Wed, 4 Sep 2002 01:33:47 +0200


Ciao !!!
Dunque, inanzitutto il modulo ipt_state =E8 caricato.
Ho creato all'occorenza uno script nuovo solo per questa prova, per evita=
re=20
che magari qualche regola fosse in conflitto [ anche se dubito fortemente=
 ] e=20
ho inserito le regole che mi hai consigliato.
La situzione =E8 rimasta invariata anche eliminando il range di porte, i =
log
invece riportano :=20
IN=3Dlo OUT=3D MAC=3D00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=3Dxx.x=
xx.xxx.xxx=20
DST=3Dxx.xxx.xxx.xxx LEN=3D60 TOS=3D0x00 PREC=3D0x00 TTL=3D64 ID=3D45806 =
DF PROTO=3DTCP=20
SPT=3D33083 DPT=3D21 WINDOW=3D32767 RES=3D0x00 SYN URGP=3D0=20
=2E.. tutto qua.


Ho dato cmq. un rapido sguardo all'output di netstat, in effetti una=20
connesione da una porta alta verso la 21 =E8 presente, ma con il flag SYN=
_SENT,=20
il che se non sbaglio sta ad intendere che =E8 in attesa di risposta da p=
arte=20
del server per completare la connesione che pero' tarda ad arrivare.....
ho completato ricontrollando anche lo stato dell'ftp, ma funziona=20
correttamente.=20


Ciao e grazie.
Beppe


> Proviamo a fare innanzi tutto un po' di debugging: riscriviamo le regol=
e
> cos=EC:
>

> iptables -A INPUT -p tcp -i ppp0 --dport 1024:65535 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp -i ppp0 --dport 21 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -j LOG
> iptables -A INPUT -j DROP
>

> e guardiamo cosa ti dicono i log.
> Poi, io proverei a togliere il range di porte dalla prima regola (anche=
 se
> non dovrebbe influire...)
> cmq, io ho provato da me e va! hai anche il modulo ipt_state?
> Ciao!
> Dido