[PLUTO-security] Firewall e ziobudda.net

Beretta Andrea mail_linux at libero.it
Fri May 16 15:22:57 CEST 2003 

Avrei un problema con lo script del firewall... Navigando non riesco ad accedere ad alcuni siti come per esempio ziobudda.net o nytimes.com ed alcuni altri... 
 Sono andato a controllare in /var/log/syslog cosa il firewall avesse loggato :

 [...]
 May 15 21:05:13 stargazer pppd[647]: local  IP address 151.30.196.181
 May 15 21:05:13 stargazer pppd[647]: remote IP address 151.6.139.47
 [...]
 May 15 21:22:16 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=193.254.241.4 DST=151.30.196.181 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=33013 WINDOW=5792 RES=0x00 ACK SYN URGP=0
 [...]
 May 15 21:39:13 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=52 TOS=0x00 PREC=0x40 TTL=235 ID=22920 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK URGP=0
 May 15 21:39:14 stargazer kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= SRC=199.239.137.200 DST=151.30.196.181 LEN=64 TOS=0x00 PREC=0x40 TTL=235 ID=22921 DF PROTO=TCP SPT=80 DPT=33217 WINDOW=33304 RES=0x00 ACK SYN URGP=0 

 199.239.137.200 e' l'ip del sito www.nytimes.com mentre 193.254.241.4 e' ziobudda.net...

 Ho controllato lo script del firewall per vedere quali fossero le regole che hanno portato a scartare i pacchetti e aggiungere le voci al log :

 da /etc/init.d/firewall:
 [...]
 # ----------------------------- definizione delle catene di errore
   $IPTABLES -N errore1
   $IPTABLES -A errore1 -j LOG --log-prefix "Tentativo di spoofing:" --log-level info
   $IPTABLES -A errore1 -j DROP
 [...]
 #------------------------------ attivazione protezioni varie
   echo -n "Attivazione Source Address Verification : "
   if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
     for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
       echo 1 > $f
     done
     echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
   else
     echo -e "\t\t\t[ ${RED}NO ${WHITE}]"
     echo -n "SAV non disponibile, utilizzo di ipchains : "
     $IPTABLES -A input -s $LOOPBACK -i ! lo -j errore1
     echo -e "\t\t\t[ ${GREEN}OK ${WHITE}]"
   fi
 [...]
 # Blocca tentativi di IP spoofing
 #
     $IPTABLES -A INPUT -i $INTERFACE -s $LOCALNET -j errore1
    fi

 Non riesco a capire perche' i pacchetti provenienti dai 2 siti dell'esempio vengono loggati come se si trattasse di un tentativo di spoofing pero'... Avete qlc suggerimento ? a parte eliminare la regola che dovrebbe bloccare i tentativi di spoofing=)

 dimenticavo : $INTERFACE=ppp0 e $LOCALNET=192.168.0.1/192.168.0.2

 Ciao e grazie

 Andrea

-- 
	JabbeR : andrea a amessage.de
	ICQ : 48431218

 -----BEGIN PGP SIGNATURE-----
 iD8DBQA+s87cz6QsouCTKzARAiocAKCBXOid9ZE2dZUxmHE8hGBoAtluZwCfQ0CY
 U7bQ99Oy4Lq6wEmqnLDXvT8=
 =rCGe
 -----END PGP SIGNATURE-----

More information about the pluto-security mailing list