[Pluto-security] Firewall 110 e 80

Stefano Callegari stefano at omniluxlighting.it
Tue Apr 1 12:55:07 CEST 2003 

Vi chiedo un grosso aiuto nella interpretazione dei seguenti log
(purtroppo la mia ignoranza di base mi costringerebbe ad un dispendio
che ora non posso permettermi :-(, per vari motivi).

Da 'tcpdump -i ppp0 -v -p'

11:21:06.221766 mail-6.tiscali.it.pop3 >
ppp-217-133-214-222.cust-adsl.tiscali.it.33697: FP 0:36(36) ack 1 win
34752 <nop,nop,timestamp 110573550 564541> (DF) (ttl 250, id 12509)

e dal relativo /var/log/messages

Apr  1 11:21:06 tecnico kernel: IPT INPUT bad packet died: IN=ppp0 OUT=
MAC= SRC=195.130.225.152 DST=217.133.214.222 LEN=88 TOS=0x00 PREC=0x00
TTL=250 ID=12509 PROTO=TCP SPT=110 DPT=33697 WINDOW=34752 RES=0x00 ACK
PSH FIN URGP=0

Le parti essenziali del fw (iptables):

# nuovo DROP con log
$IPTABLES -N facchiu_input
$IPTABLES -A facchiu_input -m limit --limit 12/hour --limit-burst 10 -j
LOG --log-level DEBUG --log-prefix "IPT INPUT bad packet died: " 
$IPTABLES -A facchiu_input -j DROP

# protezione contro gli attacchi sul syn
$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A syn-flood -j facchiu_input

# ALLOWED
$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j syn-flood
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A allowed -p TCP -j facchiu_input

$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 110 -j allowed  # pop3   
 
Le regole "-j allowed" sono le prime ad essere valutate, per cui
ritengo che i pacchetti _non_ siano 'ESTABLISHED,RELATED' oppure dei
SYN.

Non posso assicurare se la cosa è una novità oppure se è la regola
(mia) in quanto solo ieri ho sistemato il fw mettendo la nuova catena
"facchiu_input" ( (R)ex, non è sardo :-) ) e quindi ho la completa
(quasi) situazione dei pacchetti respinti. I pacchetti "persi" non
sembrano influire sul corretto funzionamento della posta.

Una cosa simile ce l'ho anche sulla porta 80, ma qui ho meno dati da
recuperare onde discuterne.

Mille grazie per l'aiuto.

Ciao
-- 
Stefano Callegari <stefano at omniluxlighting.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281

More information about the pluto-security mailing list