[despammed] [PLUTO-security] Firewall bucato?

Salvatore Basso sasab a pixteam.com
Mar 2 Mar 2004 12:52:29 CET 

Ciao a tutti e "scusate il ritardo" ...

----- Original Message ----- 
From: "Valentino Squilloni - OuZ" <ouz a people.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Thursday, February 26, 2004 8:18 PM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?


> Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
> SEQ=1817683823 ACK=4142766462 WINDOW=0 RST URGP=0

> Nemmeno questa volta e` un webserver?

.. no nemmeno questa volta !!

> l'ip in questione è : SRC=212.216.176.189

>Visto, risolve in un pop di tin che non ha nemmeno un reverse dns (non so
>se e` una cosa comune farlo).

.. quindi non c'è da preccuparsi !!??

> > > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns
DST=ippubb
> > > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
>
> .le macchine che sono in dmz hanno ognuna di esse un ip privato mappato su
> ip pubblici diversi e che sono assegnati alla interfaccia esterna del
> firewall attraverso gli alias

>Ok, allora qualcuno ha tentato di contattare (lecitamente) il tuo dns e
>gli viene risposto dal firewall un port unreachable, come se accettasse
>pacchetti alla porta 53 ma non avesse un demone in ascolto sulla 53/udp.

.. però sulla porta 53 c'è effettivamente un dns server allora perchè
risponde in quel modo ??

> >porta tcp chiusa (al contrario delle udp) deve rispondere con un RST se
e`
> >chiusa, quindi queste sembrano proprio generate dal REJECT del
firewall...
> >ma se dici di non avere REJECT... :-/
>
> . si confermo che non ho reject ! :-)

>E allora bisognerebbe sapere esattamente (e io non lo so ma mi interessa
>molto) da che condizioni puo` essere generato un port unreachable, visto
>che il secondo icmp loggato veniva (in teoria) dall'indirizzo del tuo web
>server ma anch'esso generato dal firewall senza arrivare direttmente al
>web server.

bhè si se possiamo approfondire sarebbe davvero interessante, se serve
qualche info sono a disposizione.
Saluti e buon lavoro a tutti.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security