[despammed] [PLUTO-security] ftp e iptables
Valentino Squilloni - OuZ
ouz a despammed.com
Mar 7 Ott 2003 01:09:57 CEST
On Thu, 2 Oct 2003, Salvatore Basso wrote:
[...]
> Ciao, e grazie per l'attenzione, io ho provato ad inserire la seguente riga
> molto spartana:
>
> iptables -A INPUT -p tcp --dport 20 -j DROP
>
> però non ha dato i risultati sperati (ovvero funziona comunque l'ftp in
> modalita' attiva), forse avrei dovuta applicarla alla catena FORWARD ?
Certo, se il server e' in DMZ va per forza inserita in FORWARD.
> inoltre tu mi hai detto di inserirla prima che
> venga accettato il traffico related, ma in relazione alla DMZ ?
In relazione al server ftp. Se poi questo e' nella dmz e la regola
del related prende tutta la dmz allora devi metterlo prima di quella.
> cioè
> all'interno dello script ho:
>
> iptables -A FORWARD -i $INET_IFACE -o $DMZ_IFACE -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
> o deve essere inserita prima della regola che fa riferimento ai pacchetti
> che transitano da internet verso il firewall, cioè prima di:
>
> iptables -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j
> ACCEPT
Se il server e' in DMZ non contano nulla le catene INPUT e OUTPUT, ma solo
la forward, visto che presumibilmente (non ricordo se l'avevi scritto
nell'altra mail) avrai una regola di questo tipo:
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT \
--to-destination ip.del.server.ftp:21
Ciao
--
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
-- Leonardo Serni
Maggiori informazioni sulla lista
pluto-security