[despammed] [PLUTO-security] Firewall bucato?

Gio 26 Feb 2004 18:54:10 CET

----- Original Message ----- 
From: "Valentino Squilloni - OuZ" <ouz a people.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Wednesday, February 25, 2004 11:19 PM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?

> > Feb 23 09:30:25 firewall New not syn: IN=eth1 OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> > LEN=40 TOS=00 PREC=0x00 TTL=127 ID=4933 DF PROTO=TCP SPT=1298 DPT=80
> > SEQ=1786271746 ACK=2999188269 WINDOW=0 RST URGP=0
>
> . allora l'ip privato è di una macchina interna alla mia rete, l'ip
> pubblico corrisponde ad un pop tin sul quale ovviamente non risponde
nessun
> server web, che tipo di controllo potrei fare ?

>La macchina che ha generato quel traffico e` una macchina windows, giusto?
>Potrebbe aver lanciato uno scan verso quella porta... ma la cosa sembra
>strana lo stesso... non hai altri log particolari di traffico che arriva
>da quella macchina? C'e` solo quel singolo pacchetto loggato?

.. si si tratta di una macchina windows e di sicuro da questa macchina non è
partito alcun scan, subito dopo il log che ho riportato ve ne è uno
praticamente uguale (ovviamente cambiano SEQ e ACK) e poi dopo un minuto vi
è:

Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
SEQ=1817683823 ACK=4142766462 WINDOW=0 RST URGP=0

dove l'ip privato è sempre lo stesso ma l'ip pubblico di destinazione è
diverso dal precedente

> > Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=ippubb DST=myippubfw
> > LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> > SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0

> nulla sulla porta 80 se vuoi posso anche postarlo !

>Postalo pure (non penso sia un problema).  Comunque qesto e` gia` piu`
>normale, dall'esterno arriva sempre di tutto :-)

l'ip in questione è : SRC=212.216.176.189

> > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns DST=ippubb
> > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
> >

>Questo a me non e` chiaro.  IN e` vuoto quindi questo e` un pacchetto
>generato dal firewall, in uscita verso l'interfaccia pubblica.  Il
>pacchetto non passa (visto le regole di ICMP che avevi postato) ma quello
>che mi pare strano e` l'indirizzo sorgente, che dovrebbe essere
>l'indirizzo pubblico del firewall... ed invece dici che e` l'indirizzo del
>server DNS (presumo stia in DMZ).
>
>Qui penso che dovresti spiegarci come vengono nattati i tuoi server in
>DMZ, se al firewall hai assegnato tutti gli indirizzi pubblici che hai a
>disposizione oppure se hai gli hai assegnato solo un indirizzo e quindi
>non fa nat per la dmz.

..le macchine che sono in dmz hanno ognuna di esse un ip privato mappato su
ip pubblici diversi e che sono assegnati alla interfaccia esterna del
firewall attraverso gli alias

> > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippubhttp
DST=ippubb
> > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13862 PROTO=ICMP TYPE=3 CODE=3
> >

>Magari era giu` l'interfaccia verso la dmz in quel momento.  Comunque una
>porta tcp chiusa (al contrario delle udp) deve rispondere con un RST se e`
>chiusa, quindi queste sembrano proprio generate dal REJECT del firewall...
>ma se dici di non avere REJECT... :-/

.. si confermo che non ho reject ! :-)
A presto.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]