[despammed] [PLUTO-security] Firewall bucato?

Salvatore Basso sasab a pixteam.com
Mar 24 Feb 2004 14:47:06 CET


----- Original Message ----- 
From: "Tom "Dido"" <tom a pluto.linux.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Tuesday, February 24, 2004 11:14 AM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?


> On Tue, 2004-02-24 at 11:05, Salvatore Basso wrote:
>
> > Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
> > LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> > SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
>
> Hai verificato se su y.y.y.y c'è un web server, visto che i pacchetti
> vengono dalla porta 80?
> Se c'è, guarda se è presumibile che vi abbiate acceduto voi
> dall'interno.. In tal caso, mah, strano che tu risponda con un network
> unreachable...
> Se non c'è, allora è uno che forgia un pacchetto, sperando che tu abbia
> una regola tipo "passa tutto quello che viene da un web server" (un
> firewall non-stateful).

Ciao, ho verificato e all'indirizzo SRC non corrisponde un server web,  si
tratta di un pop tin (questo da ripe whoise database) mentre l'indirizzo DST
corrisponde all'ip pubblico con il quale le macchine interne alla rete
escono verso Internet, inoltre il mac address corrisponde ma non del tutto
(spero di non dire una caxxata) al mac address relativo ad un computer
interno alla rete, dico non del tutto in quanto il mac address riportato nel
log è:

MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00
mentre facendo un arp quello del pc interno alla rete è:
MAC: 00.10.a7:1b:57:a2

può significare qualcosa ?? se servono altre info sono a disposizione.
Grazie.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]



Maggiori informazioni sulla lista pluto-security