Re: era: Consiglio su conf. firewall - II parte (lungo pure questo ma no

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao! Rispondo per quanto riguarda il problema ftp: quello che hai è un blocco 
dovuto all'utilizzo dell'ftp passivo. Con iptables puoi risolvere caricando 
il modulo ip_conntrack_ftp e ip_nat_ftp... E poi, userai la stateful 
inspection:
iptables -A FORWARD -i <interfaccia internet> -m state --state RELATED, 
ESTABLISHED --dport 1024:65535 -j ACCEPT
Prova, vedrai che funziona....Eventualmente, fai gli aggiustamenti del caso: 
la regola l'ho buttata giù al volo, senza sapere bene la tua config.
Dido

> Ora è chiaro che sono possibili diversi scenari tra le quali la classica
> DMZ invece
> della struttura evidenziata sopra; il problema che in questi giorni si è
> presentato
> è che si naviga correttamente, anche da macchine interne che bypassano
> squid ma non la macchina Proxy che fa comunque da GW, ma nei casi in cui si
> cerca di attivare l'FTP va bene fino alla fase di autentica dell'user ma
> non permette
> nemmeno di fare DIR.

- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9GPF0Qe/GGXXd6zQRAhHYAJ47xxhDdw7e5ZjuU9e54WMMtAk90wCcCwRt
lvW5drq8HuHkJYRheI9O/5s=
=OlO1
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List