[despammed] [PLUTO-security] Firewall bucato?

[Valentino Squilloni - OuZ]

On Tue, 24 Feb 2004, Tom "Dido" wrote:

> > Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> > LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> > SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
>
> Hai verificato se su y.y.y.y c'è un web server, visto che i pacchetti
> vengono dalla porta 80?
> Se c'è, guarda se è presumibile che vi abbiate acceduto voi
> dall'interno.. In tal caso, mah, strano che tu risponda con un network
> unreachable...

Se noti bene (la cosa del destination unreachable incuriosiva anche me)
il lod dell'icmp type 3 code 3 si riferisce al primo Gennaio mentre gli
altri postati si riferiscono al 23 Febbraio.  Il network unreachable
potrebbe arrivare (in condizioni normali) se gli arriva un pacchetto per
un certo server in DMZ, la regola del PREROUTING cambia l'IP destinazione
nell'indirizzo privato del server ma, per un motivo o per l'altro la LAN
di destinazione in quel momento non si trova nella tabella di routing del
firewall (interfaccia giu'?).  Sei d'accordo con questa ipotesi?

> Se non c'è, allora è uno che forgia un pacchetto, sperando che tu abbia
> una regola tipo "passa tutto quello che viene da un web server" (un
> firewall non-stateful).

Pienamente d'accordo.

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni