Utilizzo di un nat solo dopo autenticazione



  • scusate ma sono un neofita di pfsense. è possibile fare in maniera di abilitare una regola di nat statico in ingresso solo dopo aver autenticato un utente del db locale di pfsense? mi spiego meglio: ho una regola che natta il traffico entrante FTP (TCP 21) che arriva sulla wan verso l'interno della rete su un server FTP. Per proteggere da attacchi tipo brute-force il servizio FTP è possibile implementare un'autenticazione con il db utenti interno del pfsense in maniera che la regola di nat FTP funzioni solo per utenti autenticati?



  • No… e dubito troverai una funzione del genere.
    Se devi lasciare un servizio ftp aperto al mondo, le tecniche da usare sono altre, fra le cui possibili sono:

    1. poni il server ftp in una rete dmz isolata che può accedere solo a internet, e che dall'ip pubblico venga fatto un redirect delle porte che ti servono (tipo l'ftp). Poi farai una regola che da Lan puoi accedere a dmz (ma non viceversa)
    2. sul servizio ftp poni dei controlli, dove dopo X tentativi, l'ip dell'attaccante venga bannato (se usi linux come ftp server, fail2ban è un pacchetto utile allo scopo)
    3. se usi linux, usa l'autenticazione diversa dagli utenti di sistema (es. usa un autenticazione bassata su mysql o ldap o se pochi utenti, anche da file)
    4. poichè stai usando pfsense, configura un ids, tipo snort o suricata che sono disponibili frà i packages, ed attiva le regole relative agli ftp server. Ricorda comunque di monitorarle perchè tendono a creare diversi falsi positivi. In tal caso dovrai disabilitare quelle che posso dare fastidio.

Log in to reply