Netasq

[SAP]

C'e' qualcuno che puo' darmi una dritta su netasq?
Magari per mail?

Tnx.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[writethem]

Il 26/07/2010 14.59, SAP ha scritto:
> C'e' qualcuno che puo' darmi una dritta su netasq?
> Magari per mail?
>
> Tnx.
>

posta il problema, no?

[SAP]

writethem <""poiuuuu\"*the_google_mail(writethem).com"> wrote:

> posta il problema, no?

Ok, piu' tardi metto una descrizione dettagliata.

Ho paura di andare un po' OT e non so se puo interessare...

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[writethem]

Il 26/07/2010 15.52, SAP ha scritto:
> writethem<""poiuuuu\"*the_google_mail(writethem).c om"> wrote:
>
>> posta il problema, no?
>
> Ok, piu' tardi metto una descrizione dettagliata.
>
> Ho paura di andare un po' OT e non so se puo interessare...
>

secondo me è da it.comp.reti.admin anche perchè netasq ha un freebsd che
oramai è stato così alterato da non assomigliare più ad un sistema *nix.
anche la cli si usa raramente e solo per motivi diagnostici, mai
configurativi.

poi, fa come credi, tanto il post è aperto

ciao.

[writethem]

> secondo me è da it.comp.reti.admin

pardon.
it.comp.reti.ip-admin

[SAP]

writethem <""poiuuuu\"*the_google_mail(writethem).com"> wrote:

> > Ok, piu' tardi metto una descrizione dettagliata.
> > Ho paura di andare un po' OT e non so se puo interessare...
> >
> secondo me è da it.comp.reti.admin anche perchè netasq ha un freebsd che
> oramai è stato così alterato da non assomigliare più ad un sistema *nix.

Quel gruppo e' veramente a basso traffico, rischio che il mio post non
venga raccolto da nessuno, ma tentar non nuoce.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[SAP]

SAP <sapo68*gmail.com> wrote:

> Quel gruppo e' veramente a basso traffico, rischio che il mio post non
> venga raccolto da nessuno, ma tentar non nuoce.

Anyway il problema piu pressante ce l'ho su un server FTP interno che
viene raggiunto a singhiozzo.

A volte si raggiunge, a volte no, ho raggiunto la ragionevole certezza
che sia una questione di porte e un non corretto filtraggio nella parte
delle policy, ma non riesco a debuggare la cosa e la documentazione non
mi aiuta.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[writethem]

> Anyway il problema piu pressante ce l'ho su un server FTP interno che
> viene raggiunto a singhiozzo.
>

vai nel modulo nat, nel redirect o bimap che hai creato, abilita "FTP
support" nella regola di nat nel campo option

se non basta vai in proxy e disabilita il proxy FTP (creato di recente,
prima del firmware 8 non c'era)

se non basta ancora apri lo strumento monitor e verifica se ci sono
degli allarmi che si accendono, spesso sono anomalie protocollari tipo
il passaggio di un carattere "%" o "\". identifica gli alert e spegnili
in "intrusion prevention".

se non basta vai in intrusion prevention (se hai la 8 come firmware
ricordati che gli ASQ profile sono di default 2, uno incoming e uno
outcoming, fallo su entrambi) e disabilita il plugin FTP e metti in pass
tutti gli alert protocol>FTP

[SAP]

writethem <""poiuuuu\"*the_google_mail(writethem).com"> wrote:

> vai nel modulo nat, nel redirect o bimap che hai creato, abilita "FTP
> support" nella regola di nat nel campo option

Avevo gia fatto...
Ho una bidirectionale che mappa un range di ip privati verso un analogo
range di pubblici.
Ho aggiunto altre due regole bidirezionali relative ai due server in
questione, ma penso che non serva a nulla.

> se non basta vai in proxy e disabilita il proxy FTP (creato di recente,
> prima del firmware 8 non c'era)

E' disattivo.

> se non basta ancora apri lo strumento monitor e verifica se ci sono
> degli allarmi che si accendono, spesso sono anomalie protocollari tipo
> il passaggio di un carattere "%" o "\". identifica gli alert e spegnili
> in "intrusion prevention".

Ora controllo

> se non basta vai in intrusion prevention (se hai la 8 come firmware
> ricordati che gli ASQ profile sono di default 2, uno incoming e uno
> outcoming, fallo su entrambi) e disabilita il plugin FTP e metti in pass
> tutti gli alert protocol>FTP

Questo non lo sapevo verifico anche questo.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[SAP]

SAP <sapo68*gmail.com> wrote:

>
> > se non basta vai in intrusion prevention (se hai la 8 come firmware
> > ricordati che gli ASQ profile sono di default 2, uno incoming e uno
> > outcoming, fallo su entrambi) e disabilita il plugin FTP e metti in pass
> > tutti gli alert protocol>FTP
> Questo non lo sapevo verifico anche questo.

Dimenticavo: nel filtro le regole di ftp hanno gia disattivo l'ASQ
profile, sia in out che in in.


--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[writethem]

Il 26/07/2010 17.52, SAP ha scritto:
> SAP<sapo68*gmail.com> wrote:
>
>>
>>> se non basta vai in intrusion prevention (se hai la 8 come firmware
>>> ricordati che gli ASQ profile sono di default 2, uno incoming e uno
>>> outcoming, fallo su entrambi) e disabilita il plugin FTP e metti in pass
>>> tutti gli alert protocol>FTP
>> Questo non lo sapevo verifico anche questo.
>
> Dimenticavo: nel filtro le regole di ftp hanno gia disattivo l'ASQ
> profile, sia in out che in in.
>
>

non si disattivano da li', l'ASQ si disattiva (completamente) solo con
il bypass nel modulo intrusion prevention.

comunque controlla per bene il monitor e vedi se si accendono allarmi.

ciao

[SAP]

writethem <""poiuuuu\"*the_google_mail(writethem).com"> wrote:

> non si disattivano da li', l'ASQ si disattiva (completamente) solo con
> il bypass nel modulo intrusion prevention.

Che poi sarebbe un controsenso data la natura dell'oggetto, ma vabbe',
alla fine per disperazione si fa anche quello O_o.
Il problema e' che e' in un ambiente dove gia ci lavora gente, non c'e'
stato modo di fare simulazioni decenti e adesso ho diverse persone col
fiato sul collo.

> comunque controlla per bene il monitor e vedi se si accendono allarmi.

No, no ci sono allarmi (io almeno non li vedo, gli unici major alarms
sono quelli sull'utilizzo di flash/shockwave), i client si connettono al
server FTP e poi vanno in palla al momento del listing della directory
principale.
Quindi siamo al livello successivo alla negoziazione, dovremmo essere al
livello del protocollo ftp-data.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.

[writethem]

> No, no ci sono allarmi (io almeno non li vedo, gli unici major alarms
> sono quelli sull'utilizzo di flash/shockwave), i client si connettono al
> server FTP e poi vanno in palla al momento del listing della directory
> principale.
> Quindi siamo al livello successivo alla negoziazione, dovremmo essere al
> livello del protocollo ftp-data.
>

guarda, io ho circa 80 server ftp dietro altrettanti firewall netasq, e
non ce n'è uno che dia problemi (salvo correttamente configurare il
firewall ed il server).
prova a forzare il server in modalità passiva. che sistema stai usando?
IIS? filezilla? vsftpd? BulletPro?

[writethem]

> prova a forzare il server in modalità passiva. che sistema stai usando?
> IIS? filezilla? vsftpd? BulletPro?

dimenticavo, forza in entrambi i profili ASQ il parametro MSS limit a
1350, vedi che succede.

[SAP]

writethem <""poiuuuu\"*the_google_mail(writethem).com"> wrote:

> dimenticavo, forza in entrambi i profili ASQ il parametro MSS limit a
> 1350, vedi che succede.

Questo parametro era disattivo.
Ora provo.

--
Giocare col mondo, facendolo a pezzi...
Bambini che il sole, ha ridotto gia'... vecchi.