[despammed] [PLUTO-security] ftp e iptables
Fabio Panigatti
ml-panigatti a minerprint.it
Mar 7 Ott 2003 13:11:40 CEST
> Ciao, e grazie per l'attenzione, io ho provato ad
> inserire la seguente riga molto spartana:
>
> iptables -A INPUT -p tcp --dport 20 -j DROP
Dal punto di vista delle porte coinvolte:
la 20 e' la porta _sorgente_ usata dal server per ftp
attivo. Questa regola non ha quindi senso ne nel caso
di ftp attivo ne in quello di ftp passivo, a meno che
tu non voglia lasciare i socket del tuo server appesi
nello stato SYN_SENT. (si chiama ADoS: Auto Denial of
Service :-))
Dal punto di vista del flusso del traffico:
come hai gia' supposto, va in FORWARD e non in INPUT.
Usare regole di packet filtering puro per limitare un
uso della modalita' attiva avrebbe come conseguenza
quella di far andare in timeout i client o il server,
una pratica discutibile. Puoi, al limite, filtrare i
pacchetti in cui ci sono i PORT facendo un match sul
payload, con una regola "string" che RSTti la sessione
di controllo dal lato client, ma cosi' ti rimarrebbero
le sessioni aperte sul server. Potresti usare snort con
flexresp per far cadere la sessione anche lato server.
... ma cosa ti ha fatto questo povero ftp attivo?
Fabio
Maggiori informazioni sulla lista
pluto-security