[Pluto-security] Ftp-Server
Beppe
beppebz@tin.it
Fri, 6 Sep 2002 14:18:43 +0200
Ciao !
>Era attivo firewall + nat?=20
Nel caso degli esperimenti condotti sul Gateway, l'fw era attivo e come n=
at=20
solo la regola del MASQ. visto che non dovevo dirottare la connesione su=20
nessun'altra macchina.
>In generale, bisognerebbe guardare le tue regole >di
>nat... Se ne hai voglia, posta tutto lo script, magari tanti occhi (e ta=
nti
>cuori) scoprono meglio l'arcano....
>Ciao!
Ciao ! ... ho scritto ex-novo uno script volutamente piccolo limitato all=
a=20
prova che mi accingevo a fare per evitare di trovarmi in balia di tutte l=
e=20
regole in esso contenute scopo: nattare il servizio sulla macchina intern=
a.
echo "0" > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD ACCEPT
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_unclean
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_multiport # un po di moduli heheh
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m unclean -j DROP
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -d ! 192.168.xx.x/24 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i ppp0 -d ip_pubblico --dport 80 -j=
DNAT=20
--to 192.168.xx.x:80
iptables -t nat -A POSTROUTING -p tcp -i eth0 -s 192.168.xx.x --sport 80 =
-j=20
SNAT --to ip_pubblico
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
echo "1" > /proc/sys/net/ipv4/ip_forward
Test di Apache: cos=EC funzionava da localhost e dall'esterno !
L'ho poi riscritto per il caso del'ftp modificando le porte dalla 80 alla=
=20
20:21 e non ha voluto saperne di funzionare se non dall'esterno.
Nota: il server era in ascolto su tutte le interfaccie di rete !!!
Ciao Beppe