Fabio Marcone ha scritto: > ciao a tutti, > il consiglio riguarda la configurazione di squid come ftp proxy. > > uso il proxy per il traffico ftp. > > dunque: se accedo ad un server ftp mediante browser, sul log di squid > vedo una GET, se accedo mediante un client ftp (es fileZilla), vedo una > CONNECT. > > io avevo abilitato in squid.conf solo la 443 alla connect, quindi il > proxy mi risponde forbidden. > > se ovviamente abilito anche la 21 il problema non sussiste. > > la domanda è: quanto rendo vulnerabile il sistema se permetto > l'operazione di connect sulla porta 21? > > ho letto che la connect è suscettibile di exploit, ma qual è il rischio > per il traffico ftp dalla lan verso la wan? > > grazie, > Fabio Allora, il metodo CONNECT serve per bypassare completamente il proxy, quindi è come se non ci fosse. E' comunque un rischio per la sicurezza, perché permette di bypassare il proxy connettendosi direttamente ad un server. A questo punto io direi che è inutile usare squid per poi farlo bypassare con CONNECT, quindi io penso sia meglio abilitare il routing diretto alla porta 21. Se il modulo nf_nat_ftp è caricato è sufficiente abilitare con iptables i pacchetti inerenti a connessioni RELATED e ESTABLISHED e abilitare la connessione alla porta 21. -- Dario Pilori -Linux registered user #406515 -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GCM/E/M/S d- s+:- a--- C++++ UL++++ P++>+++++ L++>+++++ E--- W>+++ N+ o? K? w--- O? M V? PS++ PE- Y++ PGP++++ t+++ 5? X? R- tv-- b DI? D+ G e- h! r y? ------END GEEK CODE BLOCK------
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature