SSH e IPFW

Gabriele Riva gufi a plcforum.info
Mar 5 Ott 2004 08:14:41 CEST


ho inserito 
ipfw add allow tcp from any to any 22 out
ipfw add allow tcp from any 22 to any in
ma dalla regola ipfw add allow tcp from any to any 22 out
non passa alcun pacchetto. (E ssh si blocca)
Il ragionamento che mi hai fatto sotto risponde alla logica, ma a me ssh si
blocca se non apro le porte alte.
Domanda, e se le lasciassi aperte con la regola
add allow all from any to any 49151-65000 in
e' pericoloso?

Gabriele Riva

"Matteo Gianassi" <matteo a acquatech.org> ha scritto:
>

>>Ciedo scusa per le imprecisioni, ma sono alle prime armi con IPFW :-) ho
>aggiunto anche ipfw add allow tcp from >any to any established ma la
>connessione ssh si blocca...
>
>Quando io da un client faccio una connessione ad un server di solito lo
>chiamo su una porta bassa, vedi ad esempio l'SSH:
>
>		PC --------> 22 SERVER
>
>E questo mi risponde su una porta alta:
>
>		PC 1024-65535 <------- 22 SERVER
>
>Quidi le regole dovrebbero essere:
>
>ipfw add allow tcp from any to any 22 out
>Tradotto:(Permetti tutti i pacchetti tcp in uscita provenienti da qualsiasi
>server verso qualsiasi server SSH)
>
>ipfw add allow tcp from any 22 to any in
>Tradotto:(Permetti tutti i pacchetti tcp in entrata provenienti da qualsiasi
>server SSH verso qualsiasi server)
>
>
>>Ho provato con le regole che mi hai indicato, ma la regola add allow tcp
>from $my-net to any setup keep-state lascia passare tutto.
>>Ho sostituito $my-net con 192.168.0.0/10 e' corretto?
>
>Il /10 indica i bit di netmask! Quindi 
>/8 per avere 192.x.x.x 
>/16 per avere 192.168.x.x
>/24 per avere 192.168.0.x (quest'ultima credo sia quella che ti serve)
>
>>E se aggiungo in fondo la riga add allow all from any to any 49151-65000 in
>SSH funziona perfettamente.
>>grazie
>>Gabriele
>
>Perché così apri la porta dove il server ti manda la riposta!



Maggiori informazioni sulla lista aiuto