[despammed] [PLUTO-security] Firewall bucato?

Tom "Dido" tom a pluto.linux.it
Mar 24 Feb 2004 10:22:50 CET 

On Tue, 2004-02-24 at 10:06, Salvatore Basso wrote:
> Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=x.x.x.x DST=y.y.y.y
> LEN=76 TOS=00 PREC=0x00 TTL=255 ID=30709 PROTO=ICMP TYPE=3 CODE=3
> 
> Feb 23 04:31:01 firewall IPT INPUT packet died:  IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> LEN=60 TOS=00 PREC=0x00 TTL=46 ID=689 PROTO=ICMP TYPE=8 CODE=0 ID=768
> SEQ=9978
> 
> Feb 23 04:31:01 firewall IPT INPUT packet died:  IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> LEN=60 TOS=00 PREC=0x00 TTL=46 ID=703 PROTO=ICMP TYPE=8 CODE=0 ID=768
> SEQ=13562
> 
> Feb 23 04:31:03 firewall IPT INPUT packet died:  IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> LEN=60 TOS=00 PREC=0x00 TTL=46 ID=749 PROTO=ICMP TYPE=8 CODE=0 ID=768
> SEQ=24314
> 
> Feb 23 04:43:42 firewall IPT INPUT packet died:  IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> LEN=52 TOS=00 PREC=0x00 TTL=234 ID=47651 CE PROTO=ICMP TYPE=8 CODE=0 ID=6911
> 
> ... dove eth0 è l'interfaccia pubblica, y.y.y.y sono indirizzi pubblici non
> appartenenti alla mia rete, x.x.x.x sono ip pubblici a mia disposizione, c'è
> da preoccuparsi ??
> se servono altre info sono a disposizione (la data errata di alcuni log è
> dovuta ad una implementazione di ulog).
> Grazie e buon lavoro.
> 
>                  - Salvatore

Innanzi tutto, vi chiedo cortesemente di "trimamre" i messaggi, quando
rispondete...
Allora, Salvatore.. Il problema che tu evidenzi sebra essenzialmente
dovuto solo a pacchetti ICMP: type=8 è un ping, type=3 code=3 è un
destination unreachable. Allora, il primo potrebbe essere un semplice
port scan (oppure un programma P2P), il secondo (se gli ip y.y.y.y sono
sempre gli stessi) dovrebbe essere una tua risposta ad un pacchetto che
ha passato il tuo firewall. In generale, comunque, mi pare un info
gathering.....

Dido

Maggiori informazioni sulla lista pluto-security