[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2007 ml@sikurezza.org Soggetto: Re: [ml] Server FTP - iptables Mittente: nicola mondinelli Data: Wed, 27 Jun 2007 01:07:21 +0200 (CEST)
Fabrizio G. Ficca (aka Fab) ha scritto: > Domanda domandona... > > Avendo un server FTP pubblico, volevo blindarlo a modino aprendo *solo* quello che serve. > > Il server e' configurato per l'FTP Passivo. > > Cercando con l'ausilio di google ho trovato le seguenti regole: > > iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j > ACCEPT > > iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state > ESTABLISHED,RELATED -j ACCEPT > > > (http://www.kalamazoolinux.org/presentations/20010417/conntrack.html) > > Mi chiedo, non e' un po' troppo lassista far passare tutto dalla 1024: in poi? > in verità non apri poi molto. Permetti solo a connessioni già avvenute di proseguire il loro svoglimento. non APRI porte. solo permetti la buona comunicazione di un protocollo che viola il layering dello stack ISO/OSI... Il conntrack per FTP esiste ed è quello che permette di rendere la vita semplice con la keyword RELATED. senza il conntrack dovevi aprire tutte le porte. ciao NM
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005