* * *
Benvenuto! Effettua l'accesso oppure registrati.
12 Maggio 2021, 21:44:28

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: Opinioni su configurazione ipables per ftp  (Letto 2346 volte)

Offline jerg

  • Full Member
  • ***
  • Post: 99
    • Mostra profilo
    • E-mail
Opinioni su configurazione ipables per ftp
« il: 20 Agosto 2011, 12:52:40 »
Ho tirato su un ftp con vsftp per la tipografia in cui ho l'ufficio della mia di azienda, la mia rete è separata dalla loro tramite un firewall pfsense. Premesso che secondo me la rete è configurata da schifo perche sono dei taccagni assurdi tanto che non hanno voluto spendere 300 euro per farmi fare un firewall per la loro rete e altro ma non sto qui a elencare. Ho configurato il firewall iptables nel ftp e volevo un parere visto che è uno dei primi firewall che configuro per server in produzione. Cerco di seguito di schematizzare il più possibile la situazione.

PERCHE'
Ho bisogno di controllare la macchina tramite snmp, di poter entrare in ssh, di poterla pingare e vedere i log tramite zerolog(porta 3333) dalla mia rete, mentre da lato "pubblico" solo ftp e ping in uscita

UTENTI E SSH
ho inbito la shell a tutti gli utenti tranne uno, disabilitato il login come root a ssh e disabilitato sftp nel file di configurazione di sshd
 
HW
la macchina è un vecchio server di stampa xerox su cui ho installato centos 5.6, vsftpd, iptables, net-snmp, e il logviewer che ho scritto io zerolog(ho fatto un posto in questo forum su zerolog).
2x gigabit ethernet
1x 1ghz cpu
1x 1024mb ram
1x 120gb hd

LA RETE
La linea portante arriva ad un router che fa NAT sulla rete 192.168.0/24(rete tipografia) senza firewall, ho fatto forward della porta 21 sull'ftp(192.168.0.121). Dal router ad uno switch 10/100 a cui si collega tutta la tipografia, il firewall del mio ufficio e una delle schede di rete dell'ftp. l'altra scheda di rete dell'ftp è collegata alla rete dietro al firewall del mio ufficio questo perché se qualcuno facesse un scan del ftp dall'esterno o dalla rete della tipografia arriverebbe all'ftp tramite la prima scheda di rete e vederebbe aperta solo la porta 21.

IPTABLES dell'ftp
Codice: [Seleziona]
# Interfacce:
#       eth0 = private
#       eth1 = public

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# PUBLIC NET (192.168.0/24 rete tipografia)
-A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p icmp -j ACCEPT

#PRIVATE NET(192.168.1/24 rete del mio ufficio)
-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 3333 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 161 -s 192.168.1.103 -m mac --mac-source 00:13:8F:C1:90:43 --j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


#LOOPBACK IN/OUT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

COMMIT

l'ftp è solo in modalità attiva non so configurare il firewall per la modalità passiva :-\ ma lasciamo perdere ;D
che ne dite???
« Ultima modifica: 20 Agosto 2011, 13:04:34 di jerg »

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: Opinioni su configurazione ipables per ftp
« Risposta #1 il: 20 Agosto 2011, 14:47:30 »
scusa non capisco dov'è il tuo problema?
Mayers

Where there is a shell, there is a way

Offline jerg

  • Full Member
  • ***
  • Post: 99
    • Mostra profilo
    • E-mail
Re: Opinioni su configurazione ipables per ftp
« Risposta #2 il: 20 Agosto 2011, 20:19:28 »
nessun problema. Volevo solo un parere.

A parte come aprire o chiudere porte, spesso capita di non sapere tutti i tipi di problemi quando si parla di sicurezza, come per esempio ho letto in un manuale in cui permetteva, con iptables,non più di 30 tentativi di connessione (--SYN) al minuto su ssh per evitare attacchi syn flood.

è capitato anni fa ad un mio datore di avere un indirizzo ip pubblico bloccato dall'autority perché erano entrati in un suo ftp in disuso ma funzionante, avevano installato un server di posta e facevano spam da li. Anche lui era alle prime armi con il discorso sicurezza e anche se aveva ipostato il firewall sono entrati.

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Mayers

Where there is a shell, there is a way

Offline jerg

  • Full Member
  • ***
  • Post: 99
    • Mostra profilo
    • E-mail
Re: Opinioni su configurazione ipables per ftp
« Risposta #4 il: 22 Agosto 2011, 08:49:05 »
aaaaaa carino, grazie

 

Notizie

CentOS-Italia.Org nasce con l'obiettivo di creare una community per la condivisione delle conoscenze nell' interesse di tutta la communita' e non come servizio al utente che cerca solo una soluzione al suo problema.

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 5959
  • Ultimo: Sina
Statistiche
  • Post in totale: 13160
  • Topic in totale: 2962
  • Online Oggi: 270
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 232
Totale: 232

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo più il css è solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c'è mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50