[despammed] [PLUTO-security] Firewall bucato?
Stefano Callegari
ste.callegari a tiscali.it
Sab 21 Feb 2004 18:39:47 CET
Il 21feb 17:37, Valentino Squilloni - OuZ scrisse:
> On Fri, 20 Feb 2004, Stefano Callegari wrote:
>
[cut]
> > Feb 20 12:51:36 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
> > MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
> > DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
> > SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
[cut]
> > sua volta ad un firewall hw che fa da ulteriore filtro ad internet
> > (adsl).
> >
> > Ora, dal mac risulta che è il fw hw a generare il traffico che il fw sw
> > del server rifiuta.
>
> Sicuramente il mac address e' del router, se ti arriva un pacchetto su
> eth1 sara' sempre com mac del router stesso (e' il router a mettere
Riconosco la mia ignoranza, ma forse mi sono spiegato male (o forse tu
hai capito ma io non te :-). La "catena" hw è server/fw hw/router adsl,
cioè 3 dispositivi fisici con 3 indirizzi diversi.
Quello che mi fa ritenere che i pacchetti provengano dal fw hw è che il
comando arp mi dovrebbe restituire i dispositivi collegati (il fw hw
192.168.0.254, cioè il gateway), escludendo il resto. Oppure no?
> l'header di layer due per quel pacchetto). Pero' l'IP sorgente
> e' esterno, quindi quei pacchetti non dovrebbero essere stati generati dal
> tuo router, sono bensi' pacchetti forwardati da router.
Cioè il route li forwarda al fw hw che li forwarda al server? Ma non
dovrebbe essere il fw hw a bloccarli? E poi, perchè questo accade da
pochi giorni (più o meno dall'inizio dell'epidemia - macchine LAN
infette??? :-| )?
[cut]
> Potresti postare qualche informazione in piu'? In particolare la parte di
> config del firewall che riguarda le cose che logghi, vorrei sapere in base
> a che regola logghi i "IPT INPUT bad_packet died" e i "IPT INPUT
> alw_packet died".
Riporto un po' di regole (la riga inizia sempre con $IPTABLES se
nell'invio andasse a capo):
# nuovo DROP con log
$IPTABLES -N facchiu_input
$IPTABLES -A facchiu_input -m limit --limit 12/hour --limit-burst 10 -j LOG --log-level DEBUG --log-prefix "IPT INPUT bad_packet died: "
$IPTABLES -A facchiu_input -j DROP
# nuovo DROP con log per allow
$IPTABLES -N facchiu_input_allow
$IPTABLES -A facchiu_input_allow -m limit --limit 12/hour --limit-burst 10 -j LOG --log-level DEBUG --log-prefix "IPT INPUT alw_packet died: "
$IPTABLES -A facchiu_input_allow -j DROP
# ALLOWED
$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j syn-flood
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j facchiu_input_allow
# NOT ALLOWED
$IPTABLES -N not_allowed
$IPTABLES -A not_allowed -p tcp ! --syn -m state --state NEW -j facchiu_input
# impedire xmastree
$IPTABLES -A not_allowed -p tcp --tcp-flags ALL FIN,URG,PSH -j facchiu_input
$IPTABLES -A not_allowed -p tcp --tcp-flags ALL ALL -j facchiu_input
$IPTABLES -A not_allowed -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j facchiu_input
# blocco pacchetti senza flag
$IPTABLES -A not_allowed -p tcp --tcp-flags ALL NONE -j facchiu_input
# blocco pacchetti SYN + RST
$IPTABLES -A not_allowed -p tcp --tcp-flags SYN,RST SYN,RST -j facchiu_input
# blocco FYN scan ( funziona ? )
#$IPTABLES -A not_allowed -p tcp --tcp-flags SYN,FIN SYN,FIN -j facchiu_input
#$IPTABLES -A not_allowed -p tcp --tcp-flags FIN FIN -j facchiu_input
p.s. - le regole le ho prese da vari howto e da dritte passate nelle
liste.
[cut]
> perche' duplicati o per altri motivi...) ma se posti la config del
> firewall si puo' tirare fuori qualcosa di meglio.
Ok, attendo il responso del luminare :-)
Ciao
--
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy
Maggiori informazioni sulla lista
pluto-security