[despammed] [PLUTO-security] ftp e iptables

Salvatore Basso sasab a pixteam.com
Gio 2 Ott 2003 16:35:15 CEST 

[server ftp]
> che consente l'accesso sia in modalità passiva che
> in modalità attiva e io vorrei che funzionasse solo in passive mode.
> Ho provveduto a carica i moduli ip_nat_ftp e ip_conntrack_ftp

>Accetti traffico related in forward verso il server ftp?  Presumo di si,
>perche' penso sia proprio quello che permette di bypassare le regole che
>bloccano l'utilizzo della porta 20 (che non dovrebbe essere raggiungibile
>direttamente visto che non hai permesso traffico esplicito per quella
>porta).

>Presumo sia sufficiente unta regola che blocca in ingresso ed in uscita le
>comunicazioni con la porta 20 del server ftp, in questo modo la modalita'
>attiva non sara' disponibile (la regola deve essere precedente alla regola
>che accetta traffico RELATED).

> come posso fare per far si che la modalità attiva non sia disponibile e
> quindi forzare i client ftp all'accesso in modalità passiva ?

>Non so se il client si rende conto da solo se c'e' a disposizione solo la
>modalita' passiva o puoi fare in modo che la cosa sia trasparente, presumo
>debba settarlo esplicitamente.

Ciao, e grazie per l'attenzione, io ho provato ad inserire la seguente riga
molto spartana:

iptables -A INPUT -p tcp --dport 20 -j DROP

però non ha dato i risultati sperati (ovvero funziona comunque l'ftp in
modalita' attiva), forse avrei dovuta applicarla alla catena FORWARD ? o è
sbagliata l'impostazione ? inoltre tu mi hai detto di inserirla prima che
venga accettato il traffico related, ma in relazione alla DMZ ? cioè
all'interno dello script ho:

iptables -A FORWARD -i $INET_IFACE -o $DMZ_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT

o deve essere inserita prima della regola che fa riferimento ai pacchetti
che transitano da internet verso il firewall, cioè prima di:

iptables -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j
ACCEPT

Ancora grazie e scusate se ho scritto qualche caxxata.
Saluti.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security