[PLUTO-security] Log sospetti

Piviul pluto a flanet.org
Mar 23 Mar 2004 10:24:21 CET


Ciao Maestri :-))

Il probelma è che il kernel su cui era installato il bridge era un 2.4.x 
e affinché il packet filtering funzioni su tali server è necessario 
patcharli: io non avevo patchato il kernel sicché non filtrava nulla.
Questo non accade per il kernel 2.6.x che invece nasce già con la 
funzione di packet filtering inserita anche se però iptables ha una 
sintassi leggermente differente e, almeno a me, non funziona tanto bene; 
infatti per il kernel 2.6.x il pacchetto per il filtering, natting, 
masquerading... viene chiamato ebtables (ethernet bridge tables).

Grazie comunque a tutti quanti del supporto

Piviul

Fabio Panigatti wrote:
>>Ciao Maestro :-))
> 
> 
> @#$%^*@!!
> 
> 
>>Pero' la regola in questione dovrebbe produrre solo un log nel firewall
>>bridge
>>
>>
>>>$IPTABLES -A FORWARD -p tcp -i $INET_IFACE -d X.X.X.65 /
>>>        ! --syn -m state --state NEW /
>>>        -j LOG --log-level info --log-prefix "New not syn: "
>>>
>>
>>Mentre quella successiva non droppa solo quelli destinati a X.X.X.65, ma
>>tutte connessioni nuove che non sono SIN
>>
>>
>>>$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
>>>
>>
>>quindi il bridge non dovrebbe far passare questi pacchetti, giusto?
> 
> 
> Hai ragione: se non ci sono delle altre direttive (stralciate dal post 
> originale) che abbiano potuto alterare il comportamento del bridge nei 
> confronti di quel RST c'e' da trovare un altro motivo, apparentemente,
> o nella gestione degli stati, o in qualche regola stralciata che lo fa
> passare.
> 
> Non saprei cosa intendesse piviul in quel post successivo, dicendo che
> il bridge non filtrava niente.



Maggiori informazioni sulla lista pluto-security