Ho tirato su un ftp con vsftp per la tipografia in cui ho l'ufficio della mia di azienda, la mia rete è separata dalla loro tramite un firewall pfsense. Premesso che secondo me la rete è configurata da schifo perche sono dei taccagni assurdi tanto che non hanno voluto spendere 300 euro per farmi fare un firewall per la loro rete e altro ma non sto qui a elencare. Ho configurato il firewall iptables nel ftp e volevo un parere visto che è uno dei primi firewall che configuro per server in produzione. Cerco di seguito di schematizzare il più possibile la situazione.
PERCHE'
Ho bisogno di controllare la macchina tramite snmp, di poter entrare in ssh, di poterla pingare e vedere i log tramite zerolog(porta 3333) dalla mia rete, mentre da lato "pubblico" solo ftp e ping in uscita
UTENTI E SSH
ho inbito la shell a tutti gli utenti tranne uno, disabilitato il login come root a ssh e disabilitato sftp nel file di configurazione di sshd
HW
la macchina è un vecchio server di stampa xerox su cui ho installato centos 5.6, vsftpd, iptables, net-snmp, e il logviewer che ho scritto io zerolog(ho fatto un posto in questo forum su zerolog).
2x gigabit ethernet
1x 1ghz cpu
1x 1024mb ram
1x 120gb hd
LA RETE
La linea portante arriva ad un router che fa NAT sulla rete 192.168.0/24(rete tipografia) senza firewall, ho fatto forward della porta 21 sull'ftp(192.168.0.121). Dal router ad uno switch 10/100 a cui si collega tutta la tipografia, il firewall del mio ufficio e una delle schede di rete dell'ftp. l'altra scheda di rete dell'ftp è collegata alla rete dietro al firewall del mio ufficio questo perché se qualcuno facesse un scan del ftp dall'esterno o dalla rete della tipografia arriverebbe all'ftp tramite la prima scheda di rete e vederebbe aperta solo la porta 21.
IPTABLES dell'ftp
# Interfacce:
# eth0 = private
# eth1 = public
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# PUBLIC NET (192.168.0/24 rete tipografia)
-A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p icmp -j ACCEPT
#PRIVATE NET(192.168.1/24 rete del mio ufficio)
-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 3333 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 161 -s 192.168.1.103 -m mac --mac-source 00:13:8F:C1:90:43 --j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#LOOPBACK IN/OUT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMITl'ftp è solo in modalità attiva non so configurare il firewall per la modalità passiva
ma lasciamo perdere
che ne dite???
