Bom dia! Posso te ajudar com relação ao ftp:
Se você está liberando os pacotes RELATED, o kernel cuida de liberar as portas de entrada das conexões passivas quando forem necessárias. Não precisa liberar nada com o iptables além da porta 21 (ou qualquer que você tenha usado para conexão ftp). Mas pra isso você precisa carregar os módulos ip_conntrak e ip_conntrack_ftp, que vão "monitorar" as conexões ftp e fazerem a mágica.
Edson Marquezani Filho escreveu em 15/08/2008 18:42:
Olá pessoal ! Tenho algumas dúvidas com relação a segurança e regras de firewall, e gostaria de uma ajuda de vocês. A primeira é com relação a DNS. Eu rodo um serviço DNS recursivo, pra servir minha rede internet, certo ? Ele não é público, mas preciso que ele consiga fazer consultas nos Root Servers. No meu firewall, os pacotes que entram são os RELATED e ESTABLISHED. Isso significa permitir a entrada de pacotes de conexões estabelecidas ou em negociação, certo ? Acontece que UDP não é orientado a conexão. Então, o que eu faço com o DNS é travar a query-source dele, e liberar entrada de pacotes udp naquela porta. Porém isso impede que aquele bug atualmente em evidência seja contornado. Como fazer pra liberar as consultas do DNS aos Root Servers, sem travar a query-source ? (Assim como com qualquer outra aplicação que faça uso de UDP.) Outra dúvida é com relação a FTP Passivo. Eu tive que configurar um FTP em modo passivo, para que clientes atrás de NAT consigam trafegar dados. Acontece que isso significa liberar todo um range de portas altas TCP para conexão. Assim, tive que escancarar todas a entrada nessas portas no meu servidor. É assim mesmo ? Espero que não tenha ficado muito confuso. Fico grato se alguém puder ajudar. Obrigado.
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]