[PLUTO-security] Firewall e ziobudda.net
Beretta Andrea
mail_linux at libero.it
Fri May 16 15:22:57 CEST 2003
Avrei un problema con lo script del firewall... Navigando non riesco ad accedere ad alcuni siti come per esempio ziobudda.net o nytimes.com ed alcuni altri...
Sono andato a controllare in /var/log/syslog cosa il firewall avesse loggato :
[...]
May 15 21:05:13 stargazer pppd[647]: local IP address 151.30.196.181
May 15 21:05:13 stargazer pppd[647]: remote IP address 151.6.139.47
[...]
May 15 21:22:16 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=193.254.241.4 DST=151.30.196.181 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=33013 WINDOW=5792 RES=0x00 ACK SYN URGP=0
[...]
May 15 21:39:13 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=52 TOS=0x00 PREC=0x40 TTL=235 ID=22920 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK URGP=0
May 15 21:39:14 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=64 TOS=0x00 PREC=0x40 TTL=235 ID=22921 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK SYN URGP=0
199.239.137.200 e' l'ip del sito www.nytimes.com mentre 193.254.241.4 e' ziobudda.net...
Ho controllato lo script del firewall per vedere quali fossero le regole che hanno portato a scartare i pacchetti e aggiungere le voci al log :
da /etc/init.d/firewall:
[...]
# ----------------------------- definizione delle catene di errore
$IPTABLES -N errore1
$IPTABLES -A errore1 -j LOG --log-prefix "Tentativo di spoofing:" --log-level info
$IPTABLES -A errore1 -j DROP
[...]
#------------------------------ attivazione protezioni varie
echo -n "Attivazione Source Address Verification : "
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
else
echo -e "\t\t\t[ ${RED}NO ${WHITE}]"
echo -n "SAV non disponibile, utilizzo di ipchains : "
$IPTABLES -A input -s $LOOPBACK -i ! lo -j errore1
echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
fi
[...]
# Blocca tentativi di IP spoofing
#
$IPTABLES -A INPUT -i $INTERFACE -s $LOCALNET -j errore1
fi
Non riesco a capire perche' i pacchetti provenienti dai 2 siti dell'esempio vengono loggati come se si trattasse di un tentativo di spoofing pero'... Avete qlc suggerimento ? a parte eliminare la regola che dovrebbe bloccare i tentativi di spoofing=)
dimenticavo : $INTERFACE=ppp0 e $LOCALNET=192.168.0.1/192.168.0.2
Ciao e grazie
Andrea
--
JabbeR : andrea a amessage.de
ICQ : 48431218
-----BEGIN PGP SIGNATURE-----
iD8DBQA+s87cz6QsouCTKzARAiocAKCBXOid9ZE2dZUxmHE8hGBoAtluZwCfQ0CY
U7bQ99Oy4Lq6wEmqnLDXvT8=
=rCGe
-----END PGP SIGNATURE-----
More information about the pluto-security
mailing list