[Folug]firewall

FreeAnt webmaster@freeant.net
Tue, 10 Apr 2001 19:54:57 +0200 

-----Messaggio originale-----
Da: Luigi Lorenzo Noris <gigi@pclinx.it>
A: folug@lists.linux.it <folug@lists.linux.it>
Data: martedì 10 aprile 2001 19.06
Oggetto: Re: [Folug]firewall


>ciao a tutti e due: freeant e stefano giunchi.

HI Louis


>anche se mi sento un poco escluso dalla vostra mailing list perche' nessuno
>mi caga comunque se volete io posso dire che il servizio ftp si avvale
>principalnete di due porte la 21 ma anche la 20: una server per la
>connessione ( se ho ben capito ) e la 20 server proprio per il passaggio
dei
>comandi tipo ls. inoltre se gestisci le regole sulle porte devi aprire
eelle
>vie con ipchains dalle porte non privilegiate del tuo firewall parte
esterna
>verso le porte non privilegiate del o dei server ai quali ti vuoi conettere
>tramite ftp.

Infatti pare che ci siano aperte le porte 20 e 21 ma che la 20 non sia
MASQerata. Ma non ho guardato al microscopio, ho solo dato una scorsa.

Come filosofia generale, comunque, sarebbe meglio fermare alla porta (catena
di input) tutti i pacchetti che non vuoi, sia che provengano da host trusted
(interni) che untrusted (il mondo); poi su quelli che passano, che sono solo
quelli che volevi, fai indiscriminatamente il MASQ; a occhio, invece,
sembrerebbe che un trusted possa entrare e farti la festa alla macchina e
che gli sia inibita solamente l'uscita (tramite forwarding).

Nello "stop)" trovo poco attraente la policy ACCEPT di input: se quando
stoppi fai il flush di tutte le regole ipchains magari gli untrusted non ti
entrano sulla rete interna (forward: DENY) ma entrare sul firewall non
dovrebbe essere difficile. Prova, una volta che hai chiuso il firewall, a
fare un telnet (quello che vuoi: 23, 25, 110) da internet verso la scheda di
rete esterna: fai conto che mi sbagli ma secondo me si apre.


In effetti la porta a casaccio è il socket e non importa quale sia,
l'importante è che dall'altra parte ci sia la porta che hai richiesto.

Domattina me lo guardo meglio; mo' me ne vo a casa.


>
>non sono esperto per cui gradirei che qualcuno se sto' dicendo una manica
di
>vaccate melo dicesse perche' e da pochi mesi che lavoro con linux ed ho
>molto da imparare....

Vaccate? Anzi! Il contributo in generale è fondamentale.
"L'idea geniale cova tra coloro che ricercano, non tra i custodi degli
assiomi."
- FdM


Ciao a tutti e buona serata.
FreeAnt