[Folug]firewall
Stefano Giunchi
stefano.giunchi@libero.it
Tue, 10 Apr 2001 21:48:10 +0200
Grazie per i consigli, domani o quest'altra settimana mi ci rimetto sotto:
da giovedì faccio qualche giorno di ferie (ya-huuuuu :-D )
Stefano
----- Original Message -----
From: "FreeAnt" <webmaster@freeant.net>
To: <folug@lists.linux.it>
Sent: Tuesday, April 10, 2001 7:54 PM
Subject: Re: [Folug]firewall
> -----Messaggio originale-----
> Da: Luigi Lorenzo Noris <gigi@pclinx.it>
> A: folug@lists.linux.it <folug@lists.linux.it>
> Data: martedì 10 aprile 2001 19.06
> Oggetto: Re: [Folug]firewall
>
>
> >ciao a tutti e due: freeant e stefano giunchi.
>
> HI Louis
>
>
> >anche se mi sento un poco escluso dalla vostra mailing list perche'
nessuno
> >mi caga comunque se volete io posso dire che il servizio ftp si avvale
> >principalnete di due porte la 21 ma anche la 20: una server per la
> >connessione ( se ho ben capito ) e la 20 server proprio per il passaggio
> dei
> >comandi tipo ls. inoltre se gestisci le regole sulle porte devi aprire
> eelle
> >vie con ipchains dalle porte non privilegiate del tuo firewall parte
> esterna
> >verso le porte non privilegiate del o dei server ai quali ti vuoi
conettere
> >tramite ftp.
>
> Infatti pare che ci siano aperte le porte 20 e 21 ma che la 20 non sia
> MASQerata. Ma non ho guardato al microscopio, ho solo dato una scorsa.
>
> Come filosofia generale, comunque, sarebbe meglio fermare alla porta
(catena
> di input) tutti i pacchetti che non vuoi, sia che provengano da host
trusted
> (interni) che untrusted (il mondo); poi su quelli che passano, che sono
solo
> quelli che volevi, fai indiscriminatamente il MASQ; a occhio, invece,
> sembrerebbe che un trusted possa entrare e farti la festa alla macchina e
> che gli sia inibita solamente l'uscita (tramite forwarding).
>
> Nello "stop)" trovo poco attraente la policy ACCEPT di input: se quando
> stoppi fai il flush di tutte le regole ipchains magari gli untrusted non
ti
> entrano sulla rete interna (forward: DENY) ma entrare sul firewall non
> dovrebbe essere difficile. Prova, una volta che hai chiuso il firewall, a
> fare un telnet (quello che vuoi: 23, 25, 110) da internet verso la scheda
di
> rete esterna: fai conto che mi sbagli ma secondo me si apre.
>
>
> In effetti la porta a casaccio è il socket e non importa quale sia,
> l'importante è che dall'altra parte ci sia la porta che hai richiesto.
>
> Domattina me lo guardo meglio; mo' me ne vo a casa.
>
>
> >
> >non sono esperto per cui gradirei che qualcuno se sto' dicendo una manica
> di
> >vaccate melo dicesse perche' e da pochi mesi che lavoro con linux ed ho
> >molto da imparare....
>
> Vaccate? Anzi! Il contributo in generale è fondamentale.
> "L'idea geniale cova tra coloro che ricercano, non tra i custodi degli
> assiomi."
> - FdM
>
>
> Ciao a tutti e buona serata.
> FreeAnt
>
>
>
> _______________________________________________
> Folug mailing list
> Folug@lists.linux.it
> http://www.linux.it/mailman/listinfo/folug
>