| Autore |
 Discussione  |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 03/11/2003 : 10:09:28
|
Sotto linux, con il firewall basato su iptables, mi vengono droppati dei pacchetti che soddisfano alle condizioni della seguente regola:
iptables -A INPUT -p tcp --state NEW ! --syn -j DROP
Prima di droppare, loggo tali pacchetti, e questi risultano provenire dalla porta 80 di siti che ho visitato e destinati a porte aperte dal browser. Quello che fa strano, e` che prima di questa regola, ci sono le due regole:
iptables -A INPUT -p tcp --state ESTABLISHED -j ACCEPT
iptables -A INPUT --state RELATED -j ACCEPT
Nel caso in cui elimino la regola di drop riportata, tali pacchetti mi percorrono tutte le regole impostate per poi essere droppati dalla policy di INPUT.
Qualcuno ha qualche idea di cosa siano questi pacchetti?
PS: le regole le ho riportate a memoria, al momento non le ho sotto mano. Appena posso le controllo e, nel caso, riporto quelle corrette. L'idea pero` e` questa.
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 03/11/2003 : 18:41:18
|
Ma se la policy di INPUT è già DROP, a che serve la regola che droppa i pacchetti NEW? Hai detto tu stesso che finiscono comunque in /dev/null no?
Per i pacchetti non saprei, darò un occhiata ai miei log appena sono offlibe.
Ciao
Gimli |
 |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 04/11/2003 : 08:37:25
|
| Non serve a nulla in particolare, solamente mi permette di effettuare un logging dei pacchetti che vengono droppati piu` esplicativo: prima di venire droppato, un pacchetto che non accetto lo devio su una catena secondaria, lo loggo con un particolare prefisso e poi lo droppo. Questo accade con tutti i pacchetti che non hanno motivo di entrare (ad esclusione di alcuni particolari, che droppo senza loggarli) |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 04/11/2003 : 08:48:22
|
Le regole sono corrette, ora riporto le regole precise per il logging dei pacchetti strani come generate da iptables-save (la catena NEW e` una nuova):
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK SYN -j NEW
-A NEW -j LOG --log-prefix "Invalid NEW:" --log-level debug --log-ip-options --log-tcp-options
-A NEW -j DROP
Ora un esempio di pacchetto droppato:
Invalid NEW:IN=ppp0 OUT= MAC= SRC=151.1.209.11 DST=213.213.104.112 LEN=1420 TOS=0x00 PREC=0x00 TTL=115 ID=10491 DF PROTO=TCP SPT=80 DPT=32787 WINDOW=64240 RES=0x00 ACK PSH URGP=0 OPT (0101080A00081E910000EDAF)
(151.1.209.11 e` l'ip di [www].notrace.it)
Edited by - ori on 04/11/2003 08:48:51 |
|
|
| |
Discussione |
|
Strani pacchetti
Forum Bloccato
