[despammed] [PLUTO-security] Firewall bucato?
Luca Sollazzo
tailgunner75 a email.it
Mar 24 Feb 2004 16:55:18 CET
Alle 16:18, martedì 24 febbraio 2004, Salvatore Basso ha scritto:
scusate se mi intrometto, proviamo a fare un'analisi caso per caso... per
favore, correggetemi se sbaglio,
>
> .. questa è una sequenza di log generati nell'ordine esatto con cui vengono
> scritti dal firewall, comprendono icmp, porta 80, input, output e syn:
>
> Feb 23 09:30:25 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00 SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=4933 DF PROTO=TCP SPT=1298 DPT=80
> SEQ=1786271746 ACK=2999188269 WINDOW=0 RST URGP=0
questa sembra una connessione generata da qualcuno della tua rete verso un web
server, ma che è stata intercettata in quanto è nuova ma non ha il bit SYN
attivo... (ippubb è un ip qualsiasi su internet?) il che non dovrebbe essere
proprio normale... se l'ip di origine corrisponde ad un client sulla LAN
sarebbe utile un controllo....
> Feb 23 09:31:11 firewall IPT INPUT packet died: IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00 SRC=ippubb DST=myippubfw
> LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
>
sembra una risposta da parte di un web server... potrebbe essere un pacchetto
malformato o danneggiato... oppure qualcuno che ha alterato di proposito il
pacchetto...
> Jan 1 01:00:00 firewall IPT OUTPUT packet died: IN= OUT=eth0
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00 SRC=myippubdns DST=ippubb
> LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
>
un port unreachable in risposta ad un tentativo di ping o di connessione al
dns pubblico. Se hai usato il target REJECT di iptables mi sembra che questa
sia la risposta predefinita... verifica quali sono le condizioni che hanno
generato tale risposta... (un ping oppure un tentativo di connessione non
autorizzato...)
> Jan 1 01:00:00 firewall IPT OUTPUT packet died: IN= OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00 SRC=myippubhttp DST=ippubb
> LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13862 PROTO=ICMP TYPE=3 CODE=3
>
idem come sopra ma al web server pubblico ...
> Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00 SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
una connessione in uscita verso un server web...
>
> .. se serve altro sono a disposizione .. pur di capire farei tutto !! :-))
comunque una certa quantità di mondezza in ingresso sull'interfaccia pubblica
è normale (se volete vi posto i miei log) nel mio caso però è tutto chiuso, e
quindi, come arriva, loggo e cestino....
Spero di non averne dette troppe....
Ciao,
Luca
Maggiori informazioni sulla lista
pluto-security