De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Mateus Ribeiro Mota
Data de Publicação: 22 de Março de 2006
O FTP é um protocolo que dificulta muito a vida de quem implementa regras de filtragem no IPTABLES. O motivo é a forma que o FTP estabelece suas conexões, pois muitas vezes é impossível mapear quais portas serão feitas as conexões. O Connection Tracking é um módulo do Linux utilizado para acompanhar estas conexões "ajudando" o IPTABLES a saber que um determinado pacote é relacionado a uma conexão já existente. Primeiramente vamos carregar na máquina que irá fazer o FTP os módulos de Connection Tracking:
modprobe ip_conntrack modprobe ip_conntrack_ftp
amos entender como funciona a conexão de um cliente em um servidor de FTP: Primeiro o cliente envia um pedido de conexão através de uma porta alta (>1024) com destino a porta 21 do servidor de FTP. O servidor de FTP então responde este pedido utilizando a sua porta 21 na porta alta do cliente. Até então o funcionamento é comum a outras conexões TCP conhecidas.
Porém o FTP precisa de uma conexão de dados que pode ser estabelecida de duas formas: Utilizando FTP ATIVO ou PASSIVO.
No FTP ATIVO o cliente informa ao servidor uma porta alta através do comando PORT. O servidor então abre uma conexão utilizando a porta 20 nesta porta alta informada pelo cliente. NO FTP PASSIVO o servidor que informa ao cliente uma porta alta através do comando PORT. O cliente por sua vez abre uma conexão de uma porta alta nesta porta informada pelo servidor.
Enquanto no FTP ATIVO o servidor abre uma nova conexão de dados no cliente, no PASSIVO as conexões são abertas sempre pelo cliente, dessa forma agregando um pouco de segurança, porém temos pouco controle sobre quais portas serão utilizadas na hora de implementar as regras de firewall. Vamos agora as regras do IPTABLES:
Primeiro vamos liberar a saída da nova conexão para o servidor de FTP na porta 21:
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Agora vamos liberar a resposta do servidor para o cliente:
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED, RELATED -j ACCEPT
Para o FTP ATIVO temos que liberar a conexão que o servidor abre para o cliente, porém liberar novas conexões de entrada é considerado inseguro, então o Connection Tracking consegue identificar que essa conexão é relacionada a conexão na porta 21 que já foi feita anteriormente, então não precisamos liberar o estado NEW:
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
e a saída de retorno:
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
Para o FTP PASSIVO temos que liberar conexões de uma porta alta para outra porta alta, porém com o Connection Tracking também permitiremos que estas conexões sejam estabelecidas somente se forem relacionadas a outra conexão feita anteriormente:
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários