[PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Ven 20 Feb 2004 14:46:36 CET 

Solamente da un po' di tempo mi trovo delle righe, simili a quelle
riportate, nel log di un server remoto, che offre alcuni servizi anche
all'esterno

Feb 20 12:51:35 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0 
Feb 20 12:51:36 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0 
Feb 20 12:55:24 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44606 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK 
Feb 20 12:55:24 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44666 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK 
Feb 20 12:55:32 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44942 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK 
Feb 20 12:55:39 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=212.152.22.46
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=46142 PROTO=TCP
SPT=3688 DPT=3869 WINDOW=0 RES=0x00 ACK RST URGP

La rete č cosė composta:

LAN (ip 192.168.1.0/16) collegata alla eth0 al server (con iptables
installato) il quale, attraverso la eth1 (192.168.0.6), si collega a
sua volta ad un firewall hw che fa da ulteriore filtro ad internet
(adsl).

Ora, dal mac risulta che č il fw hw a generare il traffico che il fw sw
del server rifiuta.

[14:17:27] root a server:~ # arp -v -a 192.168.0.254
? (192.168.0.254) at 00:C0:49:B2:2D:3B [ether] on eth1
Entries: 5      Skipped: 4      Found: 1

[14:34:19] root a server:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
192.168.1.0     *               255.255.255.0   U     0      0        0
eth0
192.168.0.0     *               255.255.255.0   U     0      0        0
eth1
default         192.168.0.254   0.0.0.0         UG    0      0        0
eth1

Non ho dati del fw hw (non l'ho installato io) e non ne ho accesso.

Devo preoccuparmi e allertare chi di dovere?

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

Maggiori informazioni sulla lista pluto-security