[despammed] [PLUTO-security] ftp e iptables

Salvatore Basso sasab a pixteam.com
Mar 7 Ott 2003 13:47:13 CEST


----- Original Message ----- 
From: "Fabio Panigatti" <ml-panigatti a minerprint.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.linux.it>
Sent: Tuesday, October 07, 2003 12:11 PM
Subject: Re: [despammed] [PLUTO-security] ftp e iptables


> > Ciao, e grazie per l'attenzione, io ho provato ad
> > inserire la seguente riga molto spartana:
> >
> > iptables -A INPUT -p tcp --dport 20 -j DROP
>
> Dal punto di vista delle porte coinvolte:
> la 20 e' la porta _sorgente_ usata dal server per ftp
> attivo. Questa regola non ha quindi senso ne nel caso
> di ftp attivo ne in quello di ftp passivo, a meno che
> tu non voglia lasciare i socket del tuo server appesi
> nello stato SYN_SENT. (si chiama ADoS: Auto Denial of
> Service :-))
>
> Dal punto di vista del flusso del traffico:
> come hai gia' supposto, va in FORWARD e non in INPUT.
>
> Usare regole di packet filtering puro per limitare un
> uso della modalita' attiva avrebbe come conseguenza
> quella di far andare in timeout i client o il server,
> una pratica discutibile. Puoi, al limite, filtrare i
> pacchetti in cui ci sono i PORT facendo un match sul
> payload, con una regola "string" che RSTti la sessione
> di controllo dal lato client, ma cosi' ti rimarrebbero
> le sessioni aperte sul server. Potresti usare snort con
> flexresp per far cadere la sessione anche lato server.
>
> ... ma cosa ti ha fatto questo povero ftp attivo?
>

Ciao Fabio, ringrazio te e Valentino che mi ha risposto prima ... io ho
inserito la restrizione:

iptables -A FORWARD -p tcp --dport 20 -j DROP

ed in questo modo si riesce ad accedere solo nella modalità passiva !, tu
cosa ne pensi ? inoltre quando dici di usare delle regole di packet
filtering puro per impedire la possibilità di accedere in modalità attiva,
cosa intendi ? mi potresti dare qualche informazione in più ?
..ah cmq l'ftp attivo non mi ha fatto nulla ! :-)
Grazie a tutti.

                 - Salvatore


---
[This E-mail scanned for viruses by Declude Virus]



Maggiori informazioni sulla lista pluto-security