[despammed] [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Mar 24 Feb 2004 15:31:09 CET 

On Tue, 24 Feb 2004, Tom "Dido" wrote:

> On Tue, 2004-02-24 at 14:39, Valentino Squilloni - OuZ wrote:
> > Se noti bene (la cosa del destination unreachable incuriosiva anche me)
> > il lod dell'icmp type 3 code 3 si riferisce al primo Gennaio mentre gli
> > altri postati si riferiscono al 23 Febbraio.
>
> In effetti, la data non l'avevo proprio guardata! ma è sempre lo stesso
> server??

Sbagliavo io, a quanto dice Salvatore quella data e' errata e si riferisce
sempre allo stesso momento degli altri log.

> > Il network unreachable
> > potrebbe arrivare (in condizioni normali) se gli arriva un pacchetto per
> > un certo server in DMZ, la regola del PREROUTING cambia l'IP destinazione
> > nell'indirizzo privato del server ma, per un motivo o per l'altro la LAN
> > di destinazione in quel momento non si trova nella tabella di routing del
> > firewall (interfaccia giu'?).  Sei d'accordo con questa ipotesi?
>
> Si. In effetti, avrei potuto pensare ad un problema di routing...
> Capitano spesso i dest unreachable?

I port unreachable molto spesso (una qualsiasi pacchetto che arriva ad una
porta UDP chiusa), sugli host unreachable e sui network unreachable non ho
ancora benissimo chiaro il loro significato (anzi, mi piacerebbe
chiarirmelo proprio in questa discussione).

Ma ora che guardo meglio quel log e' proprio un icmp type 3 code 3, quindi
un normale port unreachable (prima l'avevo erroneamente classificato
network unreachable), quindi il discorso potrebbe essere piu' semplice di
quello che stiamo facendo.

> ad esempio, io ho 16 ip pubblici, e
> molte volte arrivano degli scan su tutta la sottorete... In questo caso,
> il firewall li vede arrivare, e per lui dono unreachable (lui sa che
> "dietro di lui" ci dovrebbero essere 6 ip, ad esempio... e se qualcuno
> li pinga, lui giustamente risponderebbe unreachable)

Ok, capisco, quegli ip esistono per il firewall, ma non possono essere
pingati (immagino che come policy il firewall gli ``giri'' solo le porte
alle quali devono rispondere i vari server) quindi il firewall risponde
dest unreachable.  Ma e` il firewall a rispondere con un dest unreach
perche` fa REJECT, oppure e` lo stack tcp/ip a farlo?  E in quest'ultimo
caso che tipo di icmp mandi, ovviamente un type 3, ma il code?

Scusa se inizio un'altra discussione cosi` dal nulla ma il discorso sugli
icmp (soprattutto sul type 3) penso siano importantissimi.

Ciao.

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista pluto-security