[PLUTO-security] Traffico DNS
Tom aka 'Dido'
tom at pluto.linux.it
Wed Jun 18 10:01:36 CEST 2003
On Wed, 2003-06-18 at 00:41, Beppe wrote:
> Guarda, sulla macchina c'è SNORT il che la tua ipotesi al stato dei fatti è
> sicuramente la piu' probabile.
> Ma allo stesso tempo mi sorge solamente un dubbio spero tu mi smentisca: se le
> connesione viene realemente originata da SNORT che gira sul firewall, il
> traffico di ritorno non dovrebbe essere considerato lecito in quanto
> appartenente ad una connesione nota ? Questa è l'unica cosa che mi ha dato da
> pensare; le regole del forse si tratta della disposizione delle regole, per
> chiarezza ti posto la parte IMHO interesata dello script:
Guarda, sono molto onesto: non sono riuscito a seguire il thread bene
fin dall'inizio.. In effetti il tuo discorso non fa una piega.. Avevi
già postato parte dei log incriminati?
>
> ... meglio mettere prima la regola di ACCEPT e poi quella di LOGGIN e DROP ?
No, altrimenti non logga niente! E poi, tu fai il reject dei pacchetti
invalidi, secondo me non dovrebbe essere quello il problema (anche se mi
piacerebbe fare qualche test...)
Dido
More information about the pluto-security
mailing list