[despammed] [PLUTO-security] Firewall bucato?
Valentino Squilloni - OuZ
ouz a people.it
Sab 21 Feb 2004 17:37:33 CET
On Fri, 20 Feb 2004, Stefano Callegari wrote:
> Solamente da un po' di tempo mi trovo delle righe, simili a quelle
> riportate, nel log di un server remoto, che offre alcuni servizi anche
> all'esterno
>
> Feb 20 12:51:35 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
> SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
> Feb 20 12:51:36 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
> SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
[...]
> LAN (ip 192.168.1.0/16) collegata alla eth0 al server (con iptables
> installato) il quale, attraverso la eth1 (192.168.0.6), si collega a
> sua volta ad un firewall hw che fa da ulteriore filtro ad internet
> (adsl).
>
> Ora, dal mac risulta che è il fw hw a generare il traffico che il fw sw
> del server rifiuta.
Sicuramente il mac address e' del router, se ti arriva un pacchetto su
eth1 sara' sempre com mac del router stesso (e' il router a mettere
l'header di layer due per quel pacchetto). Pero' l'IP sorgente
e' esterno, quindi quei pacchetti non dovrebbero essere stati generati dal
tuo router, sono bensi' pacchetti forwardati da router.
[...]
> Non ho dati del fw hw (non l'ho installato io) e non ne ho accesso.
Potresti postare qualche informazione in piu'? In particolare la parte di
config del firewall che riguarda le cose che logghi, vorrei sapere in base
a che regola logghi i "IPT INPUT bad_packet died" e i "IPT INPUT
alw_packet died".
> Devo preoccuparmi e allertare chi di dovere?
Cosi' a occhio direi di no (potrebbero essere normali pacchetti scartati
perche' duplicati o per altri motivi...) ma se posti la config del
firewall si puo' tirare fuori qualcosa di meglio.
HTH, ciao.
--
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
-- Leonardo Serni
Maggiori informazioni sulla lista
pluto-security