Re: Dúvida segurança/firewall - DNS e FTP Passivo

To: dup <debian-user-portuguese@lists.debian.org>
Subject: Re: Dúvida segurança/firewall - DNS e FTP Passivo
From: Miguel Da Silva - Centro de Matemática <mdasilva@cmat.edu.uy>
Date: Sun, 17 Aug 2008 11:23:20 -0300
Message-id: <[🔎] 48A83458.8090600@cmat.edu.uy>
In-reply-to: <[🔎] 2fc5f090808151442w40ef0bb4wac0adef68803a3ec@mail.gmail.com>
References: <[🔎] 2fc5f090808151442w40ef0bb4wac0adef68803a3ec@mail.gmail.com>

Edson Marquezani Filho escreveu:

  Olá pessoal !

  Tenho algumas dúvidas com relação a segurança e regras de firewall,
e gostaria de uma ajuda de vocês.

  A primeira é com relação a DNS.
 Eu rodo um serviço DNS recursivo, pra servir minha rede internet,
certo ? Ele não é público, mas preciso que ele consiga fazer consultas
nos Root Servers. No meu firewall, os pacotes que entram são os
RELATED e ESTABLISHED. Isso significa permitir a entrada de pacotes de
conexões estabelecidas ou em negociação, certo ?
  Acontece que UDP não é orientado a conexão. Então, o que eu faço com
o DNS é travar a query-source dele, e liberar entrada de pacotes udp
naquela porta. Porém isso impede que aquele bug atualmente em
evidência seja contornado.
  Como fazer pra liberar as consultas do DNS aos Root Servers, sem
travar a query-source ? (Assim como com qualquer outra aplicação que
faça uso de UDP.)

  Outra dúvida é com relação a FTP Passivo.
  Eu tive que configurar um FTP em modo passivo, para que clientes
atrás de NAT consigam trafegar dados. Acontece que isso significa
liberar todo um range de portas altas TCP para conexão. Assim, tive
que escancarar todas a entrada nessas portas no meu servidor. É assim
mesmo ?

  Espero que não tenha ficado muito confuso.

  Fico grato se alguém puder ajudar. Obrigado.

Acho que você está confundido o tal termo "orientado a conexão". O que oprotocolo UDP não faz é informar o que aconteceu com determinadaconexão. Um datagrama sai e se a resposta não chega, é porque odatagrama "se perdeu"; o protolo não tem a capacidade de saber/informaro que aconteceu realmente.

Outra coisa é saber se um determinado datagrama que chega faz parte deuma conexão já "em andamento" (me vejo obrigado a usar o termo "conexãoestabelecida).

Um detalhe importante: o primeiro parágrafo diz respeito aocomportamente do protocolo UDP independentemente do sistema operacionalusado (*nix, Windows, CiscoOS, etc...). Por outro lado, o segundoparágrafo diz respeito a uma característica presente no Kernel do Linux(habilidade de fazer o "tracking" de conexões que são examinadas peloKernel).


Deu para entender?! Não é necessário travar o "query-source".

E quanto ao FTP... o Paulo já te respondeu.

Acho que valeria a penar ler um poquinho mais sobre o módulo de"connection tracking" do Iptables.


Até.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy

Reply to:

References:
- Dúvida segurança/firewall - DNS e FTP Passivo
  - From: "Edson Marquezani Filho" <edsonmarquezani@gmail.com>

Prev by Date: RES: LDAP e SAMBA
Next by Date: Re: Xmodmap
Previous by thread: Re: Dúvida segurança/firewall - DNS e FTP Passivo
Next by thread: Re: Dúvida segurança/firewall - DNS e FTP Passivo
Index(es):
- Date
- Thread