Re: Repository FTP puri...
On Thu, 26 Aug 2004 11:00:10 +0200
Federico Di Gregorio <fog@initd.org> wrote:
> Il giorno gio, 26-08-2004 alle 10:50 +0200, automatic_jack ha scritto:
> [snip]
> > Stasera proverò a fare delle verifiche più accurate ma, a memoria,
> > avendo definito una `regola generale` sulla catena di OUTPUT che
> > blocca tutto il traffico ad eccezione di quello richiesto, senza una
> > regola che permetta di fruire del servizio FTP non viene completato il
> > comando:
> >
> > apt-get update
> >
> > in quanto il citato ftp2.it.debian.org, almeno nella parte iniziale,
> > effettua dei controlli basandosi su tale servizio, per poi switchare
> > verso porte > della 1023 (che, quindi, riesco a gestire con difficoltà
> > a meno di creare una ulteriore regola che permetta tutto il traffico
> > in uscita verso l' IP cui si appoggia ftp2.it.debian.org)
>
> mandaci le tue regole ed il tuo file sources.list. in particolare se il
> sources.list dice:
>
> deb http://....
>
> ovviamente il protocollo usato è http, nessun altro "controllo" prima.
>
> ciao,
> federico
>
> --
> Federico Di Gregorio http://people.initd.org/fog
> Debian GNU/Linux Developer fog@debian.org
> INIT.D Developer fog@initd.org
> Mi piace schioccare la lingua fortemente.
> -- Maria Luisa Benedetta Panzani
>
Ecco le regole del mio firewall hardware:
Data Filter Rules (riguarda le regole che interessano i pacchetti a connessione avvenuta)
Incoming Filter Rules (Catena di ingresso - da Internet)
#Blocca tutto il traffico in ingresso ad eccezione di quello in riposta alle richieste dell' ip nattato
0 @1 block in quick from any to 192.168.1.10/32
Outgoing Filter Rules (Catena d' uscita - verso Internet)
#Regola generale della catena d' uscita (blocca tutto ciò che non è consentito dalle regole seguenti)
0 @1 block out from 192.168.1.10/32 to any
#Consente di fruire del servizio www
0 @2 pass out quick proto tcp from 192.168.1.10/32 to any port = www
#Consente di fruire del servizio dns (tramite Bind9)
0 @3 pass out quick proto tcp/udp from 192.168.1.10/32 port = domain to any port = domain
#Consente di fruire del servizio pop3 (recezione mail)
0 @4 pass out quick proto tcp from 192.168.1.10/32 to any port = pop3
#Consente di fruire del servizio nntp (news)
0 @5 pass out quick proto tcp from 192.168.1.10/32 to any port = nntp
#Consente di fruire del servizio ftp
0 @6 pass out quick proto tcp from 192.168.1.10/32 to any port = ftp
#Consente di fruire del servizio smtp (invio mail)
0 @7 pass out quick proto tcp from 192.168.1.10/32 to any port = smtp
#Consente di fruire del servizio https
0 @8 pass out quick proto tcp from 192.168.1.10/32 to any port = 443
#Consente il traffico icmp
0 @9 pass out quick proto icmp from 192.168.1.10/32 to any
#Consente il traffico verso giano.cnaf.infn.it (synaptic rule)
0 @10 pass out quick proto tcp from 192.168.1.10/32 to 131.154.1.30/32
ed il mio sources.list:
# Debian GNU/Linux Sid
# Non-US Http
deb http://non-us.debian.org/debian-non-US/ unstable/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US/ unstable/non-US main contrib non-free
# Nerim-Marillat Ftp
deb ftp://ftp.nerim.net/debian-marillat/ unstable main
# IT Ftp
deb ftp://ftp2.it.debian.org/debian/ unstable main contrib non-free
deb-src ftp://ftp2.it.debian.org/debian/ unstable main contrib non-free
Ora, con le sole regole @2 (www) @3 (dns) ed @6 (ftp) della catena di output riesco sia ad effettuare il controllo dei nuovi pacchetti su Nerim-Marillat che a scaricarli, mentre posso effettuare il solo controllo su IT Ftp ma non a scaricare a meno, come detto, di abilitare la regola @10...ciò non rappresenta un problema, in effetti, ma fa perdere, IMHO, di generalità alle regole, inoltre, non è detto che l' ip cui si appoggia IT Ftp rimanga sempre lo stesso.
Probabilmente è concettualmente sbagliato settare delle regole di output piuttosto che di input ma, come, detto ho iniziato da poco ad interessarmi al firewalling
Ciao e grazie ancora!
Reply to: