[PLUTO-help] Problema serio con iptables

[Luca Sollazzo]

Alle 10:38, giovedì 8 aprile 2004, Luigi ha scritto:
> Salve a tutti, ho un server web aziendale con RH 9.0 e protetto con
> iptables. Stamattina, nonostante abbia configurato iptables per consentire
> l'accesso solo alla mia LAN (10.23.112.0), mi trovo un tentativo di accesso
> da un IP "esterno" alla mia LAN, sulla porta ftp.
> Per maggior chiarezza, allego la configurazione di iptables e il rapporto
> di logwatch:
> Qualcuno può dirmi come è possibile che sia successo questo?
> Grazie
> Saluti
> 

beh, le responsabili sono le regole:

(iptables) -A INPUT -j RH-Lokkit-0-50-INPUT

che rimanda alla catena omologa, e la regola: 

(iptables) -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT

che fa accettare connessioni nuove (bit syn attivo) destinate alla porta 21 da 
qualunque ip di origine.

l'ordine delle regole è importante, la sorte di un pacchetto viene vagliata 
regola per regola, dalla prima all'ultima nell'ordine con il quale sono state 
inserite. quando viene trovata una regola applicabile al pacchetto in esame, 
vengono intraprese le azioni indicate dalla regola... (ACCEPT, DROP, LOG, 
ecc.) se per esempio l'azione è ACCEPT, (o DROP), il pacchetto verrà lasciato 
passare, (o scartato) e le regole successive non saranno analizzate.

ti consiglio di controllare lo script che ti setta il firewall, controlla 
l'ordine delle regole e lascia passare solo le connessioni che effettivamente 
ti servono.... droppando tutte le altre... 

p.s. se hai ricevuto una connessione addirittura da un ip esterno, mentre il 
server dovrebbe essere solo interno, il problema potrebbe essere più 
esteso... come sta messo il web server? (sulla dmz? sulla Lan? hai un 
firewall? eroga anche servizi pubblici? ecc.) 


ciao,
 Luca