doppio bastione firewall abilitazione regole ftp con proxy server in

Massimiliano Sbaraglia
networking engineer
Abilitare servizi FTP
Regole per abilitare servizio FTP – gateway esterno
Direction
Out
In
Scr addr.
Proxy
Remote
Scr port
> 1023
21
Dst addr.
Remote
Proxy
Dst port
21
> 1023
Protocol
TCP
TCP
In
Out
Remote
Proxy
20
> 1023
Proxy
Remote
> 1023
20
TCP
TCP
Out
In
Proxy
Remote
> 1023
> 1023
Remote
Proxy
> 1023
> 1023
TCP
TCP
Flag
Any
Syn = 0
Syn = 1
Ack = 1
Any
Syn = 0
Syn = 1
Ack = 1
Any
Syn = 0
Syn = 1
Ack = 1
Action
Permit
Permit
Permit
Permit
Permit
Permit
Regole per abilitare servizio FTP – gateway interno
Direction
Out
In
Scr addr.
Client
Proxy
Scr port
> 1023
21
Dst addr.
Proxy
Client
Dst port
21
> 1023
Protocol
TCP
TCP
Out
In
Client
Proxy
> 1023
> 1023
Proxy
Client
> 1023
> 1023
TCP
TCP
Flag
Any
Syn = 0
Syn = 1
Ack = 1
Any
Syn = 0
Syn = 1
Ack = 1
Action
Permit
Permit
Permit
Permit
La connessione dati deve essere gestita in altro modo; nel caso di apertura attiva (default) della connessione
dati è responsabilità del server richiedere l’avvio di una nuova connessione TCP; in tal caso non è possibile
escludere a priori un eventuale tentativo di accesso da parte di un hacker esterno ad un servizio attivo su
una porta maggiore di 1023. Nell’ipotesi di dover risolvere ogni controllo a livello di packet filtering non esiste
garanzia che l’applicazione esterna, che utilizza la porta 20/tcp sia realmente un server FTP che risponde ad
un comando PORT inviato dal proxy server.
L’apertura della connessione FTP in modo passivo risolve almeno parzialmente il problema; attraverso l’invio
del comando PASV, il client richiede al server la determinazione di una porta tempranea su cui ricontattarlo
ed effettuare lo scambio; anche questa modalità presenta alcune limitazioni come il fatto che la porta
temporanea assegnata dal server remoto è casuale e generalmente maggiore di 1023.
Per abilitare il flusso di pacchetti IP appartenenti ad una connessione dati aperta in modalità attiva (default)
occorre implementare le seguenti regole:

consentire la propagazione di pacchetti IP entranti aventi come porta sorgente 20/tcp e come porta
destinazione maggiore di 1023, indipendentemente dallo stato dei Flag

consentire la propagazione di pacchetti IP uscenti aventi come porta sorgente maggiore di 1023 e
come porta destinazione 20/tcp con Syn=0 oppure Syn=1 e Ack=1.
Per abilitare il flusso di pacchetti IP appartenenti ad una connessione dati aperta in modalità passiva,
occorre invece implementare le seguenti regole:

consentire la propagazione di pacchetti IP uscenti aventi come porta sorgente e destinazione
entrambe maggiore di 1023, indipendentemente dallo stato dei Flag

consentire la propagazione di pacchetti IP entranti aventi come porta sorgente e destinazione
entrambe maggiore di 1023 con Syn=0 oppure Syn=1 e Ack=1.