[despammed] [PLUTO-security] Firewall bucato?

Luca Sollazzo tailgunner75 a email.it
Mar 2 Mar 2004 20:02:06 CET 

Alle 12:52, martedì 2 marzo 2004, Salvatore Basso ha scritto:
> Ciao a tutti e "scusate il ritardo" ...
>

>
> > Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> > LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
> > SEQ=1817683823 ACK=4142766462 WINDOW=0 RST URGP=0
> >
[...]


> > > > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > > > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns 
> > > > DST=ippubb LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 
> > > > CODE=3
> >

> >Ok, allora qualcuno ha tentato di contattare (lecitamente) il tuo dns e
> >gli viene risposto dal firewall un port unreachable, come se accettasse
> >pacchetti alla porta 53 ma non avesse un demone in ascolto sulla 53/udp.
> > .. però sulla porta 53 c'è effettivamente un dns server allora perchè
> > risponde in quel modo ??

ehi, ma siamo sicuri che si sia tentato di contattare la porta 53? questo 
messaggio mostra semplicemente l'uscita di un port ureachable in risposta ad 
un tentativo di connessione...

> > porta tcp chiusa (al contrario delle udp) deve rispondere con un RST se
> > è` chiusa, quindi queste sembrano proprio generate dal REJECT del
> > firewall... ma se dici di non avere REJECT... :-/

> si confermo che non ho reject ! :-)
> .le macchine che sono in dmz hanno ognuna di esse un ip privato mappato
> su ip pubblici diversi e che sono assegnati alla interfaccia esterna del
> firewall attraverso gli alias

> >E allora bisognerebbe sapere esattamente (e io non lo so ma mi interessa
> >molto) da che condizioni puo` essere generato un port unreachable, visto
> >che il secondo icmp loggato veniva (in teoria) dall'indirizzo del tuo web
> >server ma anch'esso generato dal firewall senza arrivare direttmente al
> >web server.
>
> bhè si se possiamo approfondire sarebbe davvero interessante, se serve
> qualche info sono a disposizione.
> Saluti e buon lavoro a tutti.

se partiamo dai presupposti che il dns funziona regolarmente, nel qual caso 
non avrebbe senso il port unreachable dovuto ad una connessione dns in 
entrata, e che il firewall non fa reject, allora tale messaggio dovrebbe 
essere la risposta ad un tentativo di connessione ad una porta diversa dal 
dns, ed alla quale è stato risposto con un port unreachable in quanto sulla 
macchina non c'è la porta corrispondente aperta... ma che se ci fosse 
probabilmente il firewall farebbe passare... perchè, visto che non fa reject, 
dovrebbe fare drop, ed in tal caso non dovrebbe rispondere niente... 

Inoltre come ha fatto notare Valentino, se si trattasse di connessioni TCP che 
per qualche motivo non arrivano a destinazione, o vanno su porte chiuse, si 
dovrebbe ricevere come risposta un RST, quindi deve trattarsi di connessioni 
UDP... potrei capirlo per il DNS, ma per il web server?  

non so... sto andando un pò per tentativi, dovresti farci sapere che 
connessioni generano la risposta icmp, prova a mettere una regola di log 
sulle connessioni da e per il dns ed il web sever... 

Ciao, 
 Luca

Maggiori informazioni sulla lista pluto-security