[despammed] [PLUTO-security] Firewall bucato?
Tom "Dido"
tom a pluto.linux.it
Mar 24 Feb 2004 17:12:44 CET
On Tue, 2004-02-24 at 16:55, Luca Sollazzo wrote:
> > Feb 23 09:30:25 firewall New not syn: IN=eth1 OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00 SRC=myippriv DST=ippubb
> > LEN=40 TOS=00 PREC=0x00 TTL=127 ID=4933 DF PROTO=TCP SPT=1298 DPT=80
> > SEQ=1786271746 ACK=2999188269 WINDOW=0 RST URGP=0
>
> questa sembra una connessione generata da qualcuno della tua rete verso un web
> server, ma che è stata intercettata in quanto è nuova ma non ha il bit SYN
> attivo... (ippubb è un ip qualsiasi su internet?) il che non dovrebbe essere
> proprio normale... se l'ip di origine corrisponde ad un client sulla LAN
> sarebbe utile un controllo....
Io ho riscontrato comportamenti analoghi negli ultimi mesi, attivati
dalla regola
-p tcp ! --syn -m state --state NEW -j ULOG --ulog-prefix "DROP new not
syn: "
(e poi ovviamente il drop)
Li ho verificati a seguito di connessione con alcuni programmi P2P (che
probabilmente cercano di aggirare il firewal tramite la tecnica di
"firewall piercing"), ma anche provenienti da server web (quelli che
usano i motori di banner). Volete ridere?? E' una simpatica "feature"
di IE, che si mette in ascolto (oltre che a connettersi), e se riceve un
pacchetto SYN crea una nuova connessione con il motore di banner.....
Tom
Maggiori informazioni sulla lista
pluto-security