Re: [OT] Políticas de Firewall (era: Firewall y FTP)

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] Políticas de Firewall (era: Firewall y FTP)
From: Iñaki <ibc2@euskalnet.net>
Date: Wed, 30 Aug 2006 15:05:34 +0200
Message-id: <[🔎] 200608301505.34603.ibc2@euskalnet.net>
In-reply-to: <[🔎] acbc2f2a0608300542g138f2c63ra78beaabf91cb44e@mail.gmail.com>
References: <[🔎] acbc2f2a0608290920t635d7ed0gf166d3df38b01851@mail.gmail.com> <[🔎] 44F4D18B.1080305@gmail.com> <[🔎] acbc2f2a0608300542g138f2c63ra78beaabf91cb44e@mail.gmail.com>

El Miércoles, 30 de Agosto de 2006 14:42, Leonardo Vizcaya escribió:
> > Las recomendaciones generales indicarían lo contrario.
> >
> > Es más sencillo determinar qué es lo que se desea permitir que TODO lo
> > que no se desea. No sólo porque simplemente lo que no se desea es mucho
> > más de lo que se desea sino principalmente porque se desconocen muchas
> > de las cosas que no se desean (previene cosas que no se han descubierto
> > aún)
>
> Estoy totalmente de acuerdo contigo, es mas sano bloquear todo y solo
> permitir lo que tu realmente quieras, y con respecto al problema ya lo
> resolví. Buscando en mi ruma de manuales que he conseguido googleando
> a través del tiempo, me percate en uno de ellos que colocaban:
>
> #FTP PASIVO
> iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT
>
> Esto para ftp pasivo, lo probé y funciono, aunque voy a seguir
> investigando porque igual el me esta dejando abiertos un lote de
> puertos que van del 1024 al 65535.

¿No leśite la respuesta de Matías A.Bellone? en ella comentaba el problema de 
FTP por indicar los puerts de transferencia de datos dentro de paquetes de 
control, por lo que es necesario usar módulos del kernel para que averigue 
esas direcciones y abra dichos puertos: ip_conntrack_ftp (y si haces NAT 
también necesitas cargar el ip_nat_ftp).


> Lo extraño es que le paso un nmap y me dice que tengo solo abiertos el
> 80, 443 y 21, que son los que estoy permitiendo a parte de los ya
> mencionados, si alguien sabe el porque se los agradecería.

nmap no revisa TODOS los puertos, sólo los habituales y encima asume que en 
cada uno escucha el servicio normal. Por ejemplo:

Acabo de arrancar un servidor web webrick en el puerto 3000 y un namp me dice:
  3000/tcp open  ppp

Ahora lo cierro y lo arranco en el 3002. Resulta que nmap ni siquiera menciona 
el puerto 3002.

Lee la documentación de nmap a fondo, supongo que se puede forzar a que haga 
un examen más exhaustivo.



-- 
Iñaki

Reply to:

Follow-Ups:
- Re: [OT] Políticas de Firewall (era: Firewall y FTP)
  - From: "Leonardo Vizcaya" <leonardovizcaya@gmail.com>

References:
- Firewall y FTP
  - From: "Leonardo Vizcaya" <leonardovizcaya@gmail.com>
- [OT] Políticas de Firewall (era: Firewall y FTP)
  - From: "Matías A. Bellone" <matiasbellone@gmail.com>
- Re: [OT] Políticas de Firewall (era: Firewall y FTP)
  - From: "Leonardo Vizcaya" <leonardovizcaya@gmail.com>

Prev by Date: Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Next by Date: Re: Firewall y FTP
Previous by thread: Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Next by thread: Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Index(es):
- Date
- Thread