Ho tirato su un ftp con vsftp per la tipografia in cui ho l'ufficio della mia di azienda, la mia rete è separata dalla loro tramite un firewall pfsense. Premesso che secondo me la rete è configurata da schifo perche sono dei taccagni assurdi tanto che non hanno voluto spendere 300 euro per farmi fare un firewall per la loro rete e altro ma non sto qui a elencare. Ho configurato il firewall iptables nel ftp e volevo un parere visto che è uno dei primi firewall che configuro per server in produzione. Cerco di seguito di schematizzare il più possibile la situazione.

PERCHE'
Ho bisogno di controllare la macchina tramite snmp, di poter entrare in ssh, di poterla pingare e vedere i log tramite zerolog(porta 3333) dalla mia rete, mentre da lato "pubblico" solo ftp e ping in uscita

UTENTI E SSH
ho inbito la shell a tutti gli utenti tranne uno, disabilitato il login come root a ssh e disabilitato sftp nel file di configurazione di sshd
 
HW
la macchina è un vecchio server di stampa xerox su cui ho installato centos 5.6, vsftpd, iptables, net-snmp, e il logviewer che ho scritto io zerolog(ho fatto un posto in questo forum su zerolog).
2x gigabit ethernet
1x 1ghz cpu
1x 1024mb ram
1x 120gb hd

LA RETE
La linea portante arriva ad un router che fa NAT sulla rete 192.168.0/24(rete tipografia) senza firewall, ho fatto forward della porta 21 sull'ftp(192.168.0.121). Dal router ad uno switch 10/100 a cui si collega tutta la tipografia, il firewall del mio ufficio e una delle schede di rete dell'ftp. l'altra scheda di rete dell'ftp è collegata alla rete dietro al firewall del mio ufficio questo perché se qualcuno facesse un scan del ftp dall'esterno o dalla rete della tipografia arriverebbe all'ftp tramite la prima scheda di rete e vederebbe aperta solo la porta 21.

IPTABLES dell'ftp
# Interfacce:
#       eth0 = private
#       eth1 = public

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# PUBLIC NET (192.168.0/24 rete tipografia)
-A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p icmp -j ACCEPT

#PRIVATE NET(192.168.1/24 rete del mio ufficio)
-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 3333 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 161 -s 192.168.1.103 -m mac --mac-source 00:13:8F:C1:90:43 --j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


#LOOPBACK IN/OUT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

COMMIT
l'ftp è solo in modalità attiva non so configurare il firewall per la modalità passiva ma lasciamo perdere
che ne dite???

nessun problema. Volevo solo un parere.

A parte come aprire o chiudere porte, spesso capita di non sapere tutti i tipi di problemi quando si parla di sicurezza, come per esempio ho letto in un manuale in cui permetteva, con iptables,non più di 30 tentativi di connessione (--SYN) al minuto su ssh per evitare attacchi syn flood.

è capitato anni fa ad un mio datore di avere un indirizzo ip pubblico bloccato dall'autority perché erano entrati in un suo ftp in disuso ma funzionante, avevano installato un server di posta e facevano spam da li. Anche lui era alle prime armi con il discorso sicurezza e anche se aveva ipostato il firewall sono entrati.

aaaaaa carino, grazie