Repository 32bit  Forum
Repository 64bit  Wiki

FTP dietro NAT

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

FTP dietro NAT

Messaggioda ale.cnr » mer dic 19, 2007 16:45

Ho un grosso problema che mi sta facendo sballare il cervello.
Ho la necessità di prelevare dei file, che si trovano su un server ftp posto dietro a Nat-firewall, da un server web che si trova all'esterno per poi elaborarli su una pagina web. Vi prego aiutatemi
ale.cnr
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda kobaiachi » mer dic 19, 2007 17:46

contatta l`amministratore di rete che gestisce il nat/firewall e chiedigli se gentilmente ti puo aprire le porte.
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda ale.cnr » mer dic 19, 2007 20:43

Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla
ale.cnr
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda conraid » mer dic 19, 2007 21:05

ale.cnr ha scritto:Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla


Apri le porte FTP all'IP del server web, dovrebbe bastare
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda ale.cnr » mer dic 19, 2007 21:31

Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?
ale.cnr
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda conraid » mer dic 19, 2007 21:32

ale.cnr ha scritto:Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?


Se configuri bene il server FTP?
Se lo apri ad un solo IP?
No
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda ale.cnr » mer dic 19, 2007 21:45

Non so se si è capito che non sono affatto un guru, in pratica,magari con un esempio come dovrei fare? Grazie
ale.cnr
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda conraid » mer dic 19, 2007 22:01

io partirei da qui
http://www.netfilter.org/documentation/ ... tion-howto

http://digilander.libero.it/amilinux/do ... er-23.html

qui sembra un caso simile
http://lurker.oltrelinux.com/message/20 ... 59.en.html

altro non so dirti

non devi solo aprire delle porte, ma reindirizzarle. Ma non sono esperto, magari aspetta qualcuno più ferrato di me.
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda ale.cnr » mer dic 19, 2007 22:07

Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.
Comunque darò un'occhiata ai link che mi hai inviato. Grazie
ale.cnr
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda conraid » mer dic 19, 2007 22:09

ale.cnr ha scritto:Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.


Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.

L'ultimo esempio sembra un caso simile.

Anche se a prima vista va un po' ritoccato

Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda davide77 » mer dic 19, 2007 22:31

Gestisco un server ftp su internet e devo dire di essermi scornato non poco con lo stesso problema.

Prima di tutto c'è da fare una considerazione, se usare un ftp attivo o passivo:

FTP attivo: mi pare di ricordare che basta aprire le porte 20 e 21 (puoi cercare su google se ne servono altre)

FTP passivo: devi aprire la porta 21 e tutte quelle non privilegiate (1025-65535) e, forse, anche la 20

Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.

Io ho risolto aprendo tutte le porte sul firewall e bloccando sul server quelle che non mi servivano, poi ho controllato paranoicamente di aver attivati solo i servizi strettamente necessari (ovviamente il server fa solo da ftp).
Avatar utente
davide77
Linux 2.4
Linux 2.4
 
Messaggi: 358
Iscritto il: lun apr 25, 2005 23:00
Località: Bergamo
Desktop: xfce
Distribuzione: XUbuntu

Messaggioda conraid » mer dic 19, 2007 22:33

davide77 ha scritto:Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.


Lui deve far accedere un solo IP, dove risiede un server WEB.
Meno rischi se non apre a tutti
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda gioco » mer dic 19, 2007 22:38

conraid ha scritto:Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.

Si fa, ma i servizi pubblici stanno nella DMZ.
Non so come è organizzata la rete di ale.cnr, ma normalmente i servizi pubblici girano su macchine dedicate separate dal resto della rete.
Avatar utente
gioco
Packager
Packager
 
Messaggi: 900
Iscritto il: sab giu 18, 2005 23:00
Località: in the court of the Wesnoth king
Slackware: last stable

Messaggioda conraid » mer dic 19, 2007 22:42

gioco ha scritto:Si fa, ma i servizi pubblici stanno nella DMZ.


Lo so, per questo terminavo il messaggio con

Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla


Se era in DMZ o con ip pubblico le cose erano più semplici e diverse
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Messaggioda davide77 » gio dic 20, 2007 8:46

Ho riletto il messaggio originale (nell'altro post mi ero perso con l'ftp); non ti converrebbe aprire solo la porta ssh (22) ed utilizzare sshfs? Niente seghe mentali, niente servizi extra in esecuzione e vedi i file come se fossero sul computer.

E se proprio non vuoi aprire porte puoi fare un tunnel dalla lan alla dmz e su questo far passare tutte le connessioni che vuoi.
Avatar utente
davide77
Linux 2.4
Linux 2.4
 
Messaggi: 358
Iscritto il: lun apr 25, 2005 23:00
Località: Bergamo
Desktop: xfce
Distribuzione: XUbuntu

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 0 ospiti

cron