[PLUTO-security] Log sospetti
Piviul
pluto a flanet.org
Mar 16 Mar 2004 11:55:22 CET
Ciao a tutti, analizzando i log generati da un firewall iptables c'è
qualcosa che non mi torna...
Dunque, la mia LAN ha un firewall iptables, chiamiamolo GTW con eth1
pubblica con IP X.X.X.65 e eth0 privata con IP 192.168.0.3. Ora fra eth1
ed internet c'è un'altro bridge firewall chiamiamolo BDG che filtra i
pacchetti sempre con iptables. Ora vi fornisco alcuni stralci delle
configurazioni dei due firewall
--- conf. iptables BDG -------------------------
[...]
$IPTABLES -P FORWARD DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -i $LAN_IFACE /
-s X.X.X.65 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK SYN,ACK -m state /
--state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p tcp -i $INET_IFACE -d X.X.X.65 /
! --syn -m state --state NEW /
-j LOG --log-level info --log-prefix "New not syn: "
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 7 /
-j LOG --log-level info --log-prefix "IPT FORWARD packet died: "
[...]
------------------------------------------------
dove ovviamente $INET_IFACE è l'interfaccia esposta e $LAN_IFACE è
l'interfaccia protetta.
--- conf. iptables GTW -------------------------
[...]
iptables -N bad_tcp_packets
iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK /
-m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW /
-j LOG --log-level info --log-prefix "New not syn: "
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
[...]
iptables -A INPUT -p tcp -j bad_tcp_packets
[...]
------------------------------------------------
Ora accade che se analizzo i log di BDG non trovo alcun log mentre se
guardo i log di GTW trovo con mia grande sorpresa righe tipo questa:
Mar 16 09:45:35 rh-proxy kernel: New not syn: /
IN=eth1 OUT= MAC=00:a0:c9:a2:95:3c:00:03:6b:30:fd:a0:08:00 /
SRC=172.179.106.128 DST=X.X.X.85 LEN=40 TOS=0x00 PREC=0x00 /
TTL=236 ID=65259 PROTO=TCP SPT=15701 DPT=901 WINDOW=65535 /
RES=0x00 RST URGP=0
Questo pacchetto non dovrebbe essere fermato da BDG? Ho sbagiliato
qualche configurazione?
Grazie mille a chiunque abbia voglia e tempo di fare chiarezza in ciò
che per me è un mistero.
Piviul
Maggiori informazioni sulla lista
pluto-security