[PLUTO-security] Problema firewall

Beretta Andrea beretta.andrea at libero.it
Fri May 16 15:18:11 CEST 2003 

Avrei un problema con lo script del firewall... Navigando non riesco ad accedere ad alcuni siti come per esempio ziobudda.net o nytimes.com ed alcuni altri... 
Sono andato a controllare in /var/log/syslog cosa il firewall avesse loggato :

[...]
May 15 21:05:13 stargazer pppd[647]: local  IP address 151.30.196.181
May 15 21:05:13 stargazer pppd[647]: remote IP address 151.6.139.47
[...]
May 15 21:22:16 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=193.254.241.4 DST=151.30.196.181 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=33013 WINDOW=5792 RES=0x00 ACK SYN URGP=0
[...]
May 15 21:39:13 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=52 TOS=0x00 PREC=0x40 TTL=235 ID=22920 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK URGP=0
May 15 21:39:14 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=64 TOS=0x00 PREC=0x40 TTL=235 ID=22921 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK SYN URGP=0 

199.239.137.200 e' l'ip del sito www.nytimes.com mentre 193.254.241.4 e' ziobudda.net...

Ho controllato lo script del firewall per vedere quali fossero le regole che hanno portato a scartare i pacchetti e aggiungere le voci al log :

da /etc/init.d/firewall:
[...]
# ----------------------------- definizione delle catene di errore
  $IPTABLES -N errore1
  $IPTABLES -A errore1 -j LOG --log-prefix "Tentativo di spoofing:" --log-level info
  $IPTABLES -A errore1 -j DROP
[...]
#------------------------------ attivazione protezioni varie
  echo -n "Attivazione Source Address Verification : "
  if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
      echo 1 > $f
    done
    echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
  else
    echo -e "\t\t\t[ ${RED}NO ${WHITE}]"
    echo -n "SAV non disponibile, utilizzo di ipchains : "
    $IPTABLES -A input -s $LOOPBACK -i ! lo -j errore1
    echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
  fi
[...]
# Blocca tentativi di IP spoofing
#
    $IPTABLES -A INPUT -i $INTERFACE -s $LOCALNET -j errore1
   fi

Non riesco a capire perche' i pacchetti provenienti dai 2 siti dell'esempio vengono loggati come se si trattasse di un tentativo di spoofing pero'... Avete qlc suggerimento ? a parte eliminare la regola che dovrebbe bloccare i tentativi di spoofing=)

dimenticavo : $INTERFACE=ppp0 e $LOCALNET=192.168.0.1/192.168.0.2

Ciao e grazie

Andrea

-- 
	JabbeR : andrea at amessage.de
	ICQ : 48431218

 -----BEGIN PGP SIGNATURE-----
 iD8DBQA+s87cz6QsouCTKzARAiocAKCBXOid9ZE2dZUxmHE8hGBoAtluZwCfQ0CY
 U7bQ99Oy4Lq6wEmqnLDXvT8=
 =rCGe
 -----END PGP SIGNATURE-----

More information about the pluto-security mailing list