[Linux-Biella] FTP e iptables
MauroTB
linux@bilug.linux.it
Fri, 19 Jul 2002 10:08:30 +0200
This is a multi-part message in MIME format.
------=_NextPart_000_000C_01C22F0C.3B726160
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
NB se inserisci una regola cos=EC,mini la sicurezza del tuo fw
Scusa,non sono stato chiaro :P=20
da quanto hai scritto penso che tu debba proteggere solo la tua =
macchina,quindi
#!/bin/sh
IFACE_esterna=3D"eth0" #(o qualsiasi interfaccia che =E8 collegata =
verso internet ppp0 etc)
UP_PORTS=3D"1024:65535" #(porte alte)
#FTP in uscita
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 21 -m =
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 21 =
-m state --state NEW,ESTABLISHED -j ACCEPT
#FTP Attivo
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 20 -m =
state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 20 =
-m state --state ESTABLISHED -j ACCEPT
#FTP Passivo
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port $UP_PORTS =
--destination-port $UP_PORTS -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --source-port =
$UP_PORTS --destination-port $UP_PORTS -m state --state =
ESTABLISHED,RELATED -j ACCEPT
In questo modo potrai uscire con ftp attivo e passivo dalla macchina su =
cui gira il fw
spero di essere stato + chiaro
----- Original Message -----=20
From: "Luca Bertoncello" <lucabert@lucabert.de>
To: <linux@bilug.linux.it>
Sent: Friday, July 19, 2002 9:55 AM
Subject: AW: Re: [Linux-Biella] FTP e iptables
> MauroTB <maurotb@libero.it> schrieb:
>=20
> > Prova con lo statefull inspection tipo
>=20
> Non capisco cosa vuoi intendere, con tutte quelle variabili di cui non =
dici una parola... =3D:((
>=20
> Comunque, io ho, attualmente, una regola cosi' fatta:
>=20
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>=20
> pensavo che bastasse, ma evidentemente non e' cosi'...
>=20
> Come posso fare?
>=20
> ciao
> Luca Bertoncello
> (lucabert@lucabert.de)
> _______________________________________________
> Linux mailing list
> Linux@bilug.linux.it
> http://www.bilug.linux.it/mailman/listinfo/linux
>=20
------=_NextPart_000_000C_01C22F0C.3B726160
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2716.2200" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY>
<DIV><FONT face=3DArial size=3D2>> /sbin/iptables -A INPUT -m state =
--state=20
ESTABLISHED,RELATED -j ACCEPT</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>NB se inserisci una regola cos=EC,mini =
la sicurezza=20
del tuo fw</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=3DArial size=3D2>Scusa,non sono stato chiaro :P <BR>da =
quanto hai=20
scritto penso che tu debba proteggere solo la tua =
macchina,quindi</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>#!/bin/sh</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>IFACE_esterna=3D"eth0" #(o =
qualsiasi=20
interfaccia che =E8 collegata verso internet ppp0 etc)</DIV>
<DIV>UP_PORTS=3D<FONT face=3DCourier>"1024:65535" #(porte =
alte)</FONT></DIV>
<DIV><BR>#FTP in uscita<BR>/sbin/iptables -A INPUT -i $IFACE_esterna -p =
tcp=20
--source-port 21 -m state --state ESTABLISHED -j =
ACCEPT<BR>/sbin/iptables -A=20
OUTPUT -o $IFACE_esterna -p tcp --destination-port 21 -m state --state=20
NEW,ESTABLISHED -j ACCEPT<BR>#FTP Attivo<BR>/sbin/iptables -A INPUT -i=20
$IFACE_esterna -p tcp --source-port 20 -m state --state =
ESTABLISHED,RELATED -j=20
ACCEPT<BR>/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp =
--destination-port=20
20 -m state --state ESTABLISHED -j ACCEPT<BR>#FTP =
Passivo<BR>/sbin/iptables -A=20
INPUT -i $IFACE_esterna -p tcp --source-port $UP_PORTS =
--destination-port=20
$UP_PORTS -m state --state ESTABLISHED -j ACCEPT<BR>/sbin/iptables -A =
OUTPUT -o=20
$IFACE_esterna -p tcp --source-port $UP_PORTS --destination-port =
$UP_PORTS -m=20
state --state ESTABLISHED,RELATED -j ACCEPT</DIV>
<DIV> </DIV>
<DIV>In questo modo potrai uscire con ftp attivo e passivo dalla =
macchina su cui=20
gira il fw</DIV>
<DIV>spero di essere stato + chiaro</DIV>
<DIV><BR> </DIV></FONT>
<DIV><FONT face=3DArial size=3D2>----- Original Message ----- =
</FONT></DIV>
<DIV>
<DIV><FONT face=3DArial size=3D2>From: "Luca Bertoncello" <</FONT><A=20
href=3D"mailto:lucabert@lucabert.de"><FONT face=3DArial=20
size=3D2>lucabert@lucabert.de</FONT></A><FONT face=3DArial =
size=3D2>></FONT></DIV>
<DIV><FONT face=3DArial size=3D2>To: <</FONT><A=20
href=3D"mailto:linux@bilug.linux.it"><FONT face=3DArial=20
size=3D2>linux@bilug.linux.it</FONT></A><FONT face=3DArial =
size=3D2>></FONT></DIV>
<DIV><FONT face=3DArial size=3D2>Sent: Friday, July 19, 2002 9:55 =
AM</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>Subject: AW: Re: [Linux-Biella] FTP e=20
iptables</FONT></DIV></DIV>
<DIV><FONT face=3DArial><BR><FONT size=3D2></FONT></FONT></DIV>
<DIV><FONT face=3DArial size=3D2>> MauroTB <</FONT><A=20
href=3D"mailto:maurotb@libero.it"><FONT face=3DArial=20
size=3D2>maurotb@libero.it</FONT></A><FONT face=3DArial size=3D2>> =
schrieb:<BR>>=20
<BR>> > Prova con lo statefull inspection tipo<BR>> <BR>> =
Non=20
capisco cosa vuoi intendere, con tutte quelle variabili di cui non dici =
una=20
parola... =3D:((<BR>> <BR>> Comunque, io ho, attualmente, una =
regola cosi'=20
fatta:<BR>> <BR>> /sbin/iptables -A INPUT -m state --state=20
ESTABLISHED,RELATED -j ACCEPT</FONT><FONT face=3DArial size=3D2><BR>> =
<BR>>=20
pensavo che bastasse, ma evidentemente non e' cosi'...<BR>> <BR>> =
Come=20
posso fare?<BR>> <BR>> ciao<BR>> Luca Bertoncello<BR>> =
(</FONT><A=20
href=3D"mailto:lucabert@lucabert.de"><FONT face=3DArial=20
size=3D2>lucabert@lucabert.de</FONT></A><FONT face=3DArial =
size=3D2>)<BR>>=20
_______________________________________________<BR>> Linux mailing=20
list<BR>> </FONT><A href=3D"mailto:Linux@bilug.linux.it"><FONT =
face=3DArial=20
size=3D2>Linux@bilug.linux.it</FONT></A><BR><FONT face=3DArial =
size=3D2>> </FONT><A=20
href=3D"http://www.bilug.linux.it/mailman/listinfo/linux"><FONT =
face=3DArial=20
size=3D2>http://www.bilug.linux.it/mailman/listinfo/linux</FONT></A><BR><=
FONT=20
face=3DArial size=3D2>> </FONT></DIV></BODY></HTML>
------=_NextPart_000_000C_01C22F0C.3B726160--