FTP dietro NAT

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
ale.cnr
Linux 1.0
Linux 1.0
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

FTP dietro NAT

Messaggioda ale.cnr » mer dic 19, 2007 16:45

Ho un grosso problema che mi sta facendo sballare il cervello.
Ho la necessità di prelevare dei file, che si trovano su un server ftp posto dietro a Nat-firewall, da un server web che si trova all'esterno per poi elaborarli su una pagina web. Vi prego aiutatemi

kobaiachi
Linux 3.x
Linux 3.x
Messaggi: 1368
Iscritto il: gio lug 14, 2005 0:00
Località: roma
Contatta:

Messaggioda kobaiachi » mer dic 19, 2007 17:46

contatta l`amministratore di rete che gestisce il nat/firewall e chiedigli se gentilmente ti puo aprire le porte.

ale.cnr
Linux 1.0
Linux 1.0
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda ale.cnr » mer dic 19, 2007 20:43

Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 21:05

ale.cnr ha scritto:Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla


Apri le porte FTP all'IP del server web, dovrebbe bastare

ale.cnr
Linux 1.0
Linux 1.0
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda ale.cnr » mer dic 19, 2007 21:31

Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 21:32

ale.cnr ha scritto:Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?


Se configuri bene il server FTP?
Se lo apri ad un solo IP?
No

ale.cnr
Linux 1.0
Linux 1.0
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda ale.cnr » mer dic 19, 2007 21:45

Non so se si è capito che non sono affatto un guru, in pratica,magari con un esempio come dovrei fare? Grazie

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 22:01

io partirei da qui
http://www.netfilter.org/documentation/ ... tion-howto

http://digilander.libero.it/amilinux/do ... er-23.html

qui sembra un caso simile
http://lurker.oltrelinux.com/message/20 ... 59.en.html

altro non so dirti

non devi solo aprire delle porte, ma reindirizzarle. Ma non sono esperto, magari aspetta qualcuno più ferrato di me.

ale.cnr
Linux 1.0
Linux 1.0
Messaggi: 7
Iscritto il: mer dic 19, 2007 16:41

Messaggioda ale.cnr » mer dic 19, 2007 22:07

Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.
Comunque darò un'occhiata ai link che mi hai inviato. Grazie

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 22:09

ale.cnr ha scritto:Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.


Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.

L'ultimo esempio sembra un caso simile.

Anche se a prima vista va un po' ritoccato

Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla

Avatar utente
davide77
Linux 2.4
Linux 2.4
Messaggi: 359
Iscritto il: mar apr 26, 2005 0:00
Desktop: xfce
Distribuzione: XUbuntu
Località: Bergamo

Messaggioda davide77 » mer dic 19, 2007 22:31

Gestisco un server ftp su internet e devo dire di essermi scornato non poco con lo stesso problema.

Prima di tutto c'è da fare una considerazione, se usare un ftp attivo o passivo:

FTP attivo: mi pare di ricordare che basta aprire le porte 20 e 21 (puoi cercare su google se ne servono altre)

FTP passivo: devi aprire la porta 21 e tutte quelle non privilegiate (1025-65535) e, forse, anche la 20

Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.

Io ho risolto aprendo tutte le porte sul firewall e bloccando sul server quelle che non mi servivano, poi ho controllato paranoicamente di aver attivati solo i servizi strettamente necessari (ovviamente il server fa solo da ftp).

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 22:33

davide77 ha scritto:Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.


Lui deve far accedere un solo IP, dove risiede un server WEB.
Meno rischi se non apre a tutti

Avatar utente
gioco
Packager
Packager
Messaggi: 900
Iscritto il: dom giu 19, 2005 0:00
Slackware: last stable
Località: in the court of the Wesnoth king
Contatta:

Messaggioda gioco » mer dic 19, 2007 22:38

conraid ha scritto:Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.

Si fa, ma i servizi pubblici stanno nella DMZ.
Non so come è organizzata la rete di ale.cnr, ma normalmente i servizi pubblici girano su macchine dedicate separate dal resto della rete.

Avatar utente
conraid
Staff
Staff
Messaggi: 12726
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Messaggioda conraid » mer dic 19, 2007 22:42

gioco ha scritto:Si fa, ma i servizi pubblici stanno nella DMZ.


Lo so, per questo terminavo il messaggio con

Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla


Se era in DMZ o con ip pubblico le cose erano più semplici e diverse

Avatar utente
davide77
Linux 2.4
Linux 2.4
Messaggi: 359
Iscritto il: mar apr 26, 2005 0:00
Desktop: xfce
Distribuzione: XUbuntu
Località: Bergamo

Messaggioda davide77 » gio dic 20, 2007 8:46

Ho riletto il messaggio originale (nell'altro post mi ero perso con l'ftp); non ti converrebbe aprire solo la porta ssh (22) ed utilizzare sshfs? Niente seghe mentali, niente servizi extra in esecuzione e vedi i file come se fossero sul computer.

E se proprio non vuoi aprire porte puoi fare un tunnel dalla lan alla dmz e su questo far passare tutte le connessioni che vuoi.


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti