[despammed] [PLUTO-security] ftp e iptables

Salvatore Basso sasab a pixteam.com
Mar 14 Ott 2003 18:41:16 CEST 

----- Original Message ----- 
From: "Salvatore Basso" <sasab a pixteam.com>
To: "Sicurezza in rete" <pluto-security a lists.pluto.linux.it>
Sent: Tuesday, October 07, 2003 12:47 PM
Subject: Re: [despammed] [PLUTO-security] ftp e iptables


> ----- Original Message ----- 
> From: "Fabio Panigatti" <ml-panigatti a minerprint.it>
> To: "Sicurezza in rete" <pluto-security a lists.pluto.linux.it>
> Sent: Tuesday, October 07, 2003 12:11 PM
> Subject: Re: [despammed] [PLUTO-security] ftp e iptables
>
>
> > > Ciao, e grazie per l'attenzione, io ho provato ad
> > > inserire la seguente riga molto spartana:
> > >
> > > iptables -A INPUT -p tcp --dport 20 -j DROP
> >
> > Dal punto di vista delle porte coinvolte:
> > la 20 e' la porta _sorgente_ usata dal server per ftp
> > attivo. Questa regola non ha quindi senso ne nel caso
> > di ftp attivo ne in quello di ftp passivo, a meno che
> > tu non voglia lasciare i socket del tuo server appesi
> > nello stato SYN_SENT. (si chiama ADoS: Auto Denial of
> > Service :-))
> >
> > Dal punto di vista del flusso del traffico:
> > come hai gia' supposto, va in FORWARD e non in INPUT.
> >
> > Usare regole di packet filtering puro per limitare un
> > uso della modalita' attiva avrebbe come conseguenza
> > quella di far andare in timeout i client o il server,
> > una pratica discutibile. Puoi, al limite, filtrare i
> > pacchetti in cui ci sono i PORT facendo un match sul
> > payload, con una regola "string" che RSTti la sessione
> > di controllo dal lato client, ma cosi' ti rimarrebbero
> > le sessioni aperte sul server. Potresti usare snort con
> > flexresp per far cadere la sessione anche lato server.
> >
> > ... ma cosa ti ha fatto questo povero ftp attivo?
> >
>
> Ciao Fabio, ringrazio te e Valentino che mi ha risposto prima ... io ho
> inserito la restrizione:
>
> iptables -A FORWARD -p tcp --dport 20 -j DROP
>
> ed in questo modo si riesce ad accedere solo nella modalità passiva !, tu
> cosa ne pensi ? inoltre quando dici di usare delle regole di packet
> filtering puro per impedire la possibilità di accedere in modalità attiva,
> cosa intendi ? mi potresti dare qualche informazione in più ?
> ..ah cmq l'ftp attivo non mi ha fatto nulla ! :-)

Ciao a tutti, giusto per tornare nel thread :-) .... secondo voi invece di
usare una regola così come da me indicata, come bisognerebbe impostarle ?
quali regole attivare considerando tutto ciò che avete detto e che non uso
Apache, Squid, IIS etc ..
Grazie a tutti.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security