<html><head></head><body bgcolor="#FFFFFF"><div><div>Ciao Michele,</div><div><br></div><div>Quello che dici è solo in parte corretto. "Tralasciando" il discorso sicurezza del protocollo in se, si può mettere senza alcun problema un firewall davanti ad un server su cui vi è l'FTP. Con iptables, ad esempio, basta utilizzare il modulo ftp_conntrack. Questo dinamicamente aggiungerà regole temporanee nel firewall on-board analizzando i segmenti TCP ed i pacchetti IP. Quando la sessione verrà chiusa da un handshake (fin - fin ack) oppure per un timeout (wincoz) la regola verrà rimossa. Anche in altri ambienti (BSD) con pf vi sono tecniche simili.</div>
<div>Lasciare migliaia di porte, potenzialmente esposte, non ha molta logica ;-)</div><br>Il giorno 28/feb/2012, alle ore 22:53, Michele Mazzotta <<a href="mailto:michele.mazzotta@gmail.com">michele.mazzotta@gmail.com</a>> ha scritto:<br>
<br></div><div></div><blockquote type="cite"><div>Ciao Manuel,<div><span class="Apple-tab-span" style="white-space:pre">        </span>è abbastanza semplice, ma per capirlo devi aver chiaro il funzionamento di FTP. Tenendo presente che FTP ha due canali di comunicazione (comandi e dati) FTP può funzionare sostanzialmente in due modalità: attiva e passiva. Nel primo caso, il client contatta il server sulla porta 21, i due contrattano una porta sulla quale il client sia raggiungibile, e dopodiche il server contatta il client dalla porta 20 ad un'altra porta sul client > 1023. Il problema quindi risulta chiedere al client di aprire una porta in entrata (porta che peraltro non essendo fissa può variare tra 1023 e 65535). </div>
<div>E' appunto una richiesta impegnativa (equivarrebbe al dare accesso libero da parte del client ad ogni sorta di porcheria che viaggia su internet) e per questo motivo il protocollo è stato "girato", facendo si che una volta stabilita la connessione sulla porta 21, il client –e non più il – si collega ad una porta > 1023 sul server. A questo punto è il server ad avere il problema, ma è in un certo modo piu accettabile che l'inverso, perche si dovrebbe configurare una ed una sola macchina (pur a condizioni di sicurezza molto basse).</div>
<div><br></div><div>Questo è uno dei motivi per cui FTP non viene considerato un protocollo sicuro, al di la delle altre falle che ha. Certo che se devi far vedere a tuo fratello com<span class="Apple-style-span" style="background-color:transparent">e funziona l'upload di un sito mediante FTP, non è un problema... ben altra cosa è se vuoi fare tutto questo attraverso internet lasciando effettivamente una macchina collegata ad internet con 64512 porte raggiungibili. </span></div>
<div><span class="Apple-style-span" style="background-color:transparent"><br></span></div><div><span class="Apple-style-span" style="background-color:transparent">Spero di non averti complicato le idee ;)</span></div><div>
<span class="Apple-style-span" style="background-color:transparent"><br></span></div><div><span class="Apple-style-span" style="background-color:transparent"><br></span><div>
<span class="Apple-style-span" style="border-collapse:separate;font-variant:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span class="Apple-style-span" style><span class="Apple-style-span" style="background-color:transparent">–Michele</span><br class="Apple-interchange-newline">
<font class="Apple-style-span" color="#564eb9"><span class="Apple-style-span" style="font-size:11px">---------------</span></font></span><span class="Apple-style-span" style="font-size:medium;color:rgb(0,0,0);border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span class="Apple-style-span" style="border-collapse:separate;font-family:'Lucida Grande';font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span class="Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span class="Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<div><div style="font-family:'Lucida Grande'"><div style="color:rgb(0,0,0);font-size:medium;margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0px"><font class="Apple-style-span" color="#564EB9"><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size:11px">Questo indirizzo e-mail è ad uso personale. Si chiede la cortesia di non usarlo per catene di e-mails, pubblicità e di non cederlo a terzi previa autorizzazione. Ricordo inoltre che è ILLEGALE trasmettere dati personali senza esplicita autorizzazione, e che vi sono sanzioni amministrative e penali per chi viola la legge. </span></font></font><font class="Apple-style-span" color="#564EB9"><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size:11px">Il ricevente, se diverso dal destinatario, è avvertito che qualsiasi utilizzazione, divulgazione o copia di questa comunicazione, nonché di eventuali suoi allegati, comporta la violazione delle disposizioni di Legge sulla tutela dei dati personali (D.Lgs 196/2003). Qualora il messaggio fosse ricevuto per errore, si prega di cancellarlo e distruggere eventuali copie o stampe e di darne informazione immediata al mittente.</span></font></font></div>
</div></div></div></span></span></span></span></div></span></div></span></div></span></div></span></div></span></span>
</div>
<br><div><div>On Feb 28, 2012, at 9:20 PM, Manuel wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Il 28 febbraio 2012 18:56, enzo <<a href="mailto:enzo.arlati@libero.it">enzo.arlati@libero.it</a>> ha scritto:<br>
<br>Ciao<br><br><blockquote type="cite">Ovviamente una connessione ftp non lo fai passare da nessun firewall.<br></blockquote><br>riesci a spiegare meglio questa frase? Così scritta mi sembra<br>concettualmente sbagliata....<br>
<br>Grazie,<br>Manuel<br><br>--<br>Sito BgLUG: <a href="http://www.bglug.it">http://www.bglug.it</a><br>Mailing list: <a href="http://lists.linux.it/listinfo/bglug">http://lists.linux.it/listinfo/bglug</a><br></div></blockquote>
</div><br></div></div></blockquote><blockquote type="cite"><div><span></span><br><span>--</span><br><span>Sito BgLUG: <a href="http://www.bglug.it">http://www.bglug.it</a></span><br><span>Mailing list: <a href="http://lists.linux.it/listinfo/bglug">http://lists.linux.it/listinfo/bglug</a></span></div>
</blockquote></body></html>