Gentoo Forums

Posted: **Tue Oct 19, 2004 3:08 pm**

Ciao a tutti, sto configurando un firewall che fa anche da ftp (lo so non è il max della sicurezza, ma le finanze son quelle che sono) ma mi da qualche problemino quando cerco di connettermi al server ftp. Il client si connette ma nno riceve nulla diciamo. Il problema stava nel firewall, ecco le regole iniziali:

Code: Select all

iptables -P INPUT DROP

#ftp ALL
iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

aggiungendo questa regola tutto si sitema, ma mi pare un po troppo "larga"

Code: Select all

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Non c'è un modo per rendere ulteriormente ristretta la regola?

thx

Posted: **Mon Oct 25, 2004 9:03 pm**

Beh, già così usi le funzionalità di connection tracking di Netfilter e come configurazione è ragionevolmente sicura.
Se proprio vuoi stringere, tieni conto che l'FTP, in modalità attiva, di porte ne usa due: la 21 per i comandi e la 20 per il trasferimento dati.
Quest'ultima va aperta in uscita: è il server FTP a collegarsi sulla porta indicata dal client.
Assicurati anche di aver caricato l'apposito modulo per consentire a Netfilter di aprire al volo in uscita le porte richieste dal client (ip_conntrack_ftp o qualcosa del genere).
Dai anche un'occhiata qui: http://www.pureftpd.org/README.Netfilter.

Gentoo Forums

[conf] pure-ftpd e iptables

[conf] pure-ftpd e iptables