[despammed] [PLUTO-security] Firewall bucato?

Salvatore Basso sasab a pixteam.com
Gio 4 Mar 2004 09:56:13 CET 

Ciao a tutti ...

----- Original Message ----- 
From: "Luca Sollazzo" <tailgunner75 a email.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Tuesday, March 02, 2004 8:02 PM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?



> > > > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > > > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns
> > > > DST=ippubb LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP
TYPE=3
> > > > CODE=3
> >

>ehi, ma siamo sicuri che si sia tentato di contattare la porta 53? questo
>messaggio mostra semplicemente l'uscita di un port ureachable in risposta
ad
>un tentativo di connessione...

... concordo sul fatto che non è detto che necessariamente la porta 53 sia
incriminata ??!! ... se può essere di aiuto riporto nuovamente le mie regole
riguardo il traffico icmp:

iptables -N icmp_packets
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type echo-reply -j DROP
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j DROP
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j DROP
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 5 -j DROP
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP



> si confermo che non ho reject ! :-)
> .le macchine che sono in dmz hanno ognuna di esse un ip privato mappato
> su ip pubblici diversi e che sono assegnati alla interfaccia esterna del
> firewall attraverso gli alias

> >E allora bisognerebbe sapere esattamente (e io non lo so ma mi interessa
> >molto) da che condizioni puo` essere generato un port unreachable, visto
> >che il secondo icmp loggato veniva (in teoria) dall'indirizzo del tuo web
> >server ma anch'esso generato dal firewall senza arrivare direttmente al
> >web server.

>se partiamo dai presupposti che il dns funziona regolarmente, nel qual caso
>non avrebbe senso il port unreachable dovuto ad una connessione dns in
>entrata, e che il firewall non fa reject, allora tale messaggio dovrebbe
>essere la risposta ad un tentativo di connessione ad una porta diversa dal
>dns, ed alla quale è stato risposto con un port unreachable in quanto sulla
>macchina non c'è la porta corrispondente aperta... ma che se ci fosse
>probabilmente il firewall farebbe passare... perchè, visto che non fa
reject,
>dovrebbe fare drop, ed in tal caso non dovrebbe rispondere niente...

.. l'analisi credo sia corretta e questo mi fa un pò paura .. allora quello
che secondo me è aperto è:

iptables -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d
$DMZHTTPIP --dport 80 -j allowed


iptables -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d
$DMZHTTPIP --dport 21 -j allowed


iptables -A FORWARD -p ICMP -i $INET_IFACE -o $DMZ_IFACE -d $DMZHTTPIP -j
icmp_packets


iptables -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d
$DMZ_DNS_IP --dport 53 -j allowed


iptables -A FORWARD -p UDP -i $INET_IFACE -o $DMZ_IFACE -d
$DMZ_DNS_IP --dport 53 -j ACCEPT


iptables -A FORWARD -p ICMP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_DNS_IP -j
icmp_packets


.. spero che queste regole possano aiutarci a comprendere !!
se server altro a disposizione !

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security