[despammed] Re: [PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Ven 27 Feb 2004 01:14:36 CET


Il 26Feb 20:03, Valentino Squilloni - OuZ scrisse:
> On Thu, 26 Feb 2004, Stefano Callegari wrote:
[cut] 
> > E' un qualche rimasuglio di una connessione ftp?
> 
> Perche` dici ftp?  192.168.0.6 e` l'indirizzo interno del tuo server ftp?
> 

192.168.0.6 è l'indirizzo assegnato al server (che fa anche da ftp) per
interfacciarsi con il fw hw. A sua volta questo ha un ip 10.x.x.x (mi
sembra di ricordare) verso il router adsl.

Il server ftp è identificato con l'ip pubblico del router adsl. 

[cut]
> > Chiedo scusa ancora, ma confrontando il log con il fw sul mio pc, noto
> > chiaramente che la situazione è completamente differente: i miei drop,
> > notevolmente di più, sono quasi esclusivamente SYN URGP=0 (lo script è
> > lo stesso). Questo significa che, ipotizzando un normale "rumore di
> > fondo", il fw hw almeno blocca i "miei" pacchetti (quindi funziona) ma
> > per qualche motivo riceve un "attacco" che a me non si presenta (ndr:
> > io non offro alcun servizio se non l'ssh e, normalmente chiuso, l'ftp).
> >
> > E' il fw hw che "sporca" i pacchetti?
> > Perchè questa diversità di comportamento?
> 
> Qui non ti ho capito (tra mio e miei mi sono perso e non capivo piu' se
> stessi parlando di roba uscente o entrante sul firewall linux o so quello
> hardware e proveniente dall'esterno o dall'interno.
> Potresti ripetere la domanda?

Scusa, mi spego meglio. Ho fatto un confronto tra il log del server
incriminato, remoto, e quelli del pc presso il mio ufficio. In pratica
mi chiedo, avendo entrambe le macchine lo stesso script iptables, come
mai i log sono estremamente diversi: i "miei" (del mio server) hanno
una notevole maggioranza di pacchetti SYN e praticamente nessuno di
quelli che trovo sul server remoto e viceversa. Ciò significherebbe che
il fw hw blocca i pacchetti solo SYN (di cui non ho il log) ma lascia
passare dei pacchetti che invece praticamente non risultano sulla mia
macchina. Statisticamente io interpreto che i pacchetti che il fw sul
server remoto mi logga sono proprio destinati a lui?

Mi sono spiegato meglio?

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy


Maggiori informazioni sulla lista pluto-security