[despammed] [PLUTO-security] Firewall bucato?

Salvatore Basso sasab a pixteam.com
Mer 25 Feb 2004 10:20:40 CET


----- Original Message ----- 
From: "Luca Sollazzo" <tailgunner75 a email.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Tuesday, February 24, 2004 4:55 PM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?


> Feb 23 09:30:25 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=4933 DF PROTO=TCP SPT=1298 DPT=80
> SEQ=1786271746 ACK=2999188269 WINDOW=0 RST URGP=0

>questa sembra una connessione generata da qualcuno della tua rete verso un
>web server, ma che è stata intercettata in quanto è nuova ma non ha il bit
SYN
>attivo... (ippubb è un ip qualsiasi su internet?) il che non dovrebbe
essere
>proprio normale... se l'ip di origine corrisponde ad un client sulla LAN
>sarebbe utile un controllo....

.. allora l'ip privato è di una macchina interna alla mia rete, l'ip
pubblico corrisponde ad un pop tin sul quale ovviamente non risponde nessun
server web, che tipo di controllo potrei fare ?

> Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=ippubb DST=myippubfw
> LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
>
>sembra una risposta da parte di un web server... potrebbe essere un
pacchetto
>malformato o danneggiato... oppure qualcuno che ha alterato di proposito il
>pacchetto...

>.. l'indirizzo sorgente corrisponde sempre ad un pop tin e non risponde
>nulla sulla porta 80 se vuoi posso anche postarlo !

> Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns DST=ippubb
> LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
>
>un port unreachable in risposta ad un tentativo di ping o di connessione al
>dns pubblico. Se hai usato il target REJECT di iptables mi sembra che
questa
>sia la risposta predefinita...  verifica quali sono le condizioni che hanno
>generato tale risposta... (un ping oppure un tentativo di connessione non
>autorizzato...)

.. dovrebbe essere uno "scambio di idee" tra il mio server dns ed un server
dns di interbusiness ! però io non ho usato il target reject !!

> Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippubhttp DST=ippubb
> LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13862 PROTO=ICMP TYPE=3 CODE=3
>
>idem come sopra ma al web server pubblico ...

... anche per !!!

> Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
>
>una connessione in uscita verso un server web...

si in effetti è un mio ip interno alla rete e l'ip di destinazione è un sito
web ..

> Spero di non averne dette troppe....

 .. sicuramente NO !
.. lo so che è una mail lunga ma ho preferito non tagliare nulla temendo che
poi ne venisse compromessa la comprensione !
Ciao.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]



Maggiori informazioni sulla lista pluto-security