[gilug.org] firewall

2006-03-15 23:17:00 UTC

Degut a aquest mètode de comunicació FTP tan vulnerable (anada pel port 21 i
tornada 'activa' pel port 20) es va inventar l'anomenat "mode passiu", en
què es resol tot pel port 21 i totes les conexions les obre el client.

Ara bé, per a restringir el servei FTP a només "mode passiu", cal que el
programa-servidor FTP el contempli, i que tots els clients que s'hi vulguin
conectar també.

,
Narcis Garcia            _________________________________
__________________________________________________________

-----Mensaje original-----
De:  [mailto:]En nombre
de Marc Torres
Enviado el: dimecres, 15 / març / 2006 17:11
Para: 
Asunto: Re: [gilug.org] firewall

Hola david, a veure si ho podem solucionar. Dius que:

> Tot em va perfecte excepte l'apartat del ftp, no aconsegueixo establir
> cap connexió amb aquest protocol. A continuació descric el meu
> firewall-gateway haviam si algú em pot ajudar a aconseguir que em
> funcioni l'ftp.

El que jo diria és que si el firewall està fent NAT (ja sigui
MASQUERADE o SNAT) per compartir la connexió (que suposo que sí), et
falta carregar els moduls ip_nat_ftp potser. No sé segur si és aquest
el seu nom (ho dic de memòria).

Si això no funciona el millor que pots fer és instal·lar tcpdump (o
algun altre esnifador de paquets) i mirar a veure què passa quan
probes de fer una connexió amb ftp. la comanda que li hauries de donar
seria:

tcpdump -i any not port 22 (si ho fas connectat al firewall amb ssh)
tcpdump -i any (si ho fas directament des del firewall). És un
programa un pèl rudimentari, però a mi m'ha anat molt bé per veure què
passava a través del firewall...

Per cert, un consell, has probat a posar la política per defecte a
DROP, així t'estalvies la última regla que ho rebutja tot... (llavors
has de escriure dues regles per línia, en el chain forward, ja que ha
de passar per una direcció i per l'altre...)

> #ACCEPTEM L'ACCES A FTP no em funciona, autentifica pero no accedeix
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -j
ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -j
ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 115 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 115 -j ACCEPT

Això que et comento ara no n'estic segur del tot (ho vaig estar mirant
ja fa força temps i no ho recordo gaire bé), però l'ftp és molt
punyeter, ja que tu estableixes connexió al port 21 per autenticar-te
(que dius que sí que funciona) i fer comandes (ls, cd, pwd, etc.),
però quan el servidor t'ha de respondre ell fa una connexió cap a tu
al port 20, i aquesta connexió no s'arriba a establir mai ja que les
regles no ho permeten. El millor que pots fer és buscar més info sobre
l'ftp o si a la llista hi ha algú amb més coneixaments que jo a veure
si ens pot il·lustrar en el tema...

També pots provar l'ftp en mode passiu a veure què tal...

Sort i ja diràs el què!

Marc.
_______________________________________________
Llista mailing list

http://gilug.org/cgi-bin/mailman/listinfo/llista