Impostazione Filtri per porte

[heroes3]

Domanda forse per molti banale:
Ho installato il w2ksrv con i seguenti servizi:
FTP 21
WEB SERVER 80
SERVER POSTA (POP3 110, SMTP 25, E AMMINISTRAZIONE 32000)
DNS 53
TERMINAL SERVER 3389

Ho attivato come spiegato qui
http://html.it/hardening/hardening_09.htm
i filtri IPsec e sembrerebbe funzionare tutto correttamente
e come impostazione aggiuntiva ho bloccato tutte le porte
quindi mi restano aperte solo ed esclusivamente quelle da me scelte

domandone da un milione di dollari

Potrei incontrare problemi con il funzionamento dei suddetti servizi con le porte udp o altre se lascio questa configurazione così limitativa ? oppure devo aprire quelche altra porta in ricezione???

grazie a tutti

[diegoctn]

Non dovresti avere nessun problema. Ovviamente se non hai servizi aggiuntivi sull'UDP.

[heroes3]

invece testando in locale un prob mi si è presentato
il servizio FTP mi autentica ma mi blocca quando gli chiedo il
LIST

quante porte utilizza il servizio FTP??
21
220 (passivo)
251 (passivo)
queste le conosco e sono state aperte
ma quante altre porte utilizza???
magari gli serve una porta UDP??

Grazie ancora

[seclimar]

verso il pc sono quelle le porte ok

ma dal pc verso l'esterno hai chiuso delle porte ?
le porte udp non sono usate

[heroes3]

il filtro ipsec è impostato nel seguente modo:

1° regola blocca tutto da e verso tutto
2° regola
consenti da qualsiasi indirizzo verso ip locale
il protocollo tcp da qualsiasi porta verso la 21, speculare
3° regola
consenti accesso da qualsiasi indirizzo verso ip locale
il protocollo tcp da qualsiasi porta verso la 220, speculare
4° regola
consenti accesso da qualsiasi indirizzo verso ip locale
il protocollo tcp da qualsiasi porta verso la 251, speculare
5° regola
consenti da questo ip verso qualunque ip
il protocollo tcp dalla porta 21 a qualsiasi porta, speculare
6° regola
consenti da questo ip verso qualunque ip
il protocollo tcp dalla porta 220 a qualsiasi porta, speculare
7° regola
consenti da questo ip verso qualunque ip
il protocollo tcp dalla porta 251 a qualsiasi porta, speculare

c'è qualche regola che mi manca???
può essere che ipsec dia disturbo alla comunicazione FTP(non penso...)

grazie ancora a tutti

[seclimar]

io so che l'HTTP funziona cosi:

il client fa una GET sul server alla porta 80
il server risponde su una porta che ogni volta e' diversa!
percui dal server verso il client NON puoi bloccare le porte in uscita!

controlla se e' lo stesso per il ftp!
apri tutte le porte in uscita e riprova!

il FTP di sicuro NON riponde sulla 21 ... poiche' il client stesso potrebbe avere un servizio ftp sulla 21!

dall'esterno devi aprire la 21, 220, 251 ok..
ma dall'interno della rete.. mi sa che devi lasciarle aperte.. prova!

[heroes3]

ma come fai..... :metallica
ne sai sempre una + del diavolo!!!!!
ho appena impostato l'ultima regola e modificato un altra come mi hai detto tu: (lo scrivo che magari viene buona a qualcun altro)

questa è quella modificata
1° regola blocca tutto da qualsiasi ip verso ip macchina non speculare

regola aggiunta
da questo ip verso qualsiasi ip, protocollo TCP non speculare

e come per magia tutto funzia!!!! :metallica :metallica

Domanda sarebbe meglio lasciargli il solo protocollo TCP in uscita oppure dargli qualsiasi

grazie ancora secli bisognerebbe farti un monumento nel forum!!!!

[seclimar]

non ti so aiutare nei dettagli...
pero' .. logicamente il firewall viene usato per limitare gli attacchi dall'esterno verso l'interno!
non ha senso bloccare da dentro verso fuori!!
a meno che non vuoi fare navigare gli utenti!

inoltre... se guardi i log ..del ftp
noterai che ci sono giornalmente vari attacchi di hacker (script automatici)
metti tutte le patch ecc...

[seclimar]

grazie ancora secli bisognerebbe farti un monumento nel forum!!!!

suggeriscilo ai moderatori e hai capi di html.it!
pero' mi accontento di qualche soldino piu' che del monumento!

ogni mio messaggio..e' un banner... il che vuole dire 9000 banners...per i miei messaggi..
PAGATEMIIIIIII :gren:

[heroes3]

vedi il monumento è gratis ..... :gren:

cmq non stavo impostando un firewall hardware
bensi i filtri Ipsec della scheda di rete di winzoz 2000 server

:sexpulp:

e funzia alla grande

per l'ftp uso bullet ftp server ed è mitico ha un sacco di funzioni che ho abilitato contro le intrusion :adhone:



grazie ancora