[PLUTO-security] Firewall bucato?
Stefano Callegari
ste.callegari a tiscali.it
Ven 20 Feb 2004 14:46:36 CET
Solamente da un po' di tempo mi trovo delle righe, simili a quelle
riportate, nel log di un server remoto, che offre alcuni servizi anche
all'esterno
Feb 20 12:51:35 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
Feb 20 12:51:36 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
Feb 20 12:55:24 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44606 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK
Feb 20 12:55:24 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44666 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK
Feb 20 12:55:32 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=217.224.141.56
DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=44942 DF PROTO=TCP
SPT=1214 DPT=3860 WINDOW=32767 RES=0x00 ACK
Feb 20 12:55:39 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=212.152.22.46
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=46142 PROTO=TCP
SPT=3688 DPT=3869 WINDOW=0 RES=0x00 ACK RST URGP
La rete č cosė composta:
LAN (ip 192.168.1.0/16) collegata alla eth0 al server (con iptables
installato) il quale, attraverso la eth1 (192.168.0.6), si collega a
sua volta ad un firewall hw che fa da ulteriore filtro ad internet
(adsl).
Ora, dal mac risulta che č il fw hw a generare il traffico che il fw sw
del server rifiuta.
[14:17:27] root a server:~ # arp -v -a 192.168.0.254
? (192.168.0.254) at 00:C0:49:B2:2D:3B [ether] on eth1
Entries: 5 Skipped: 4 Found: 1
[14:34:19] root a server:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.1.0 * 255.255.255.0 U 0 0 0
eth0
192.168.0.0 * 255.255.255.0 U 0 0 0
eth1
default 192.168.0.254 0.0.0.0 UG 0 0 0
eth1
Non ho dati del fw hw (non l'ho installato io) e non ne ho accesso.
Devo preoccuparmi e allertare chi di dovere?
Ciao
--
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy
Maggiori informazioni sulla lista
pluto-security