[Tech] script-iptables

Aldo Podavini a.podavini@mclink.it
Lun 18 Ago 2003 11:04:25 CEST 

Mattia Brunetti wrote:

>Ho uno script per  la configurazione di iptables dove ci sono le seguenti 
>righe (non solo queste, ma son queste che non son certo di capire):
>
>iptables -N errore1
>iptables -A errore1 -j LOG --log-prefix "Tentativo di spoofing:" --log-level 
>info
>iptables -A errore1 -j DROP
>iptables -A input -s 127.0.0.1 -i ! lo -j errore1
>
>Questa dovrebbe bloccare i tentativi di IP spoofing?
>  
>

>
>Nel /var/log/syslog trovo:
>
>Aug 13 15:11:09 pantin kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= 
>SRC=192.168.140.67 DST=151.42.76.113 LE
>N=52 TOS=0x00 PREC=0x00 TTL=57 ID=40864 DF PROTO=TCP SPT=80 DPT=2000 
>WINDOW=24616 RES=0x00 ACK FIN URGP=0
>
>ed  
>
>Aug 13 15:12:25 pantin kernel: Tentativo di spoofing:IN=ppp0 OUT= MAC= 
>SRC=192.168.140.67 DST=151.42.76.113 LE
>N=52 TOS=0x00 PREC=0x00 TTL=57 ID=40867 DF PROTO=TCP SPT=80 DPT=5076 
>WINDOW=24616 RES=0x00 ACK FIN URGP=0
>
>la cosa sembra continuare........
>
>Le domande sono queste:
>cosa e' l'IP spoofing (penso di averlo capito cosa e', ma non ho capito a chi 
>serve)?
>il file di log dice il giusto?
>e' normale succeda?
>mi devo preoccupare?
>
>Ciao
>
>Mattia
>  
>

Lo "spoofing" è una tecnica di attacco che consiste nel falsificare l'IP 
di provenienza di un pacchetto. La riga

iptables -A input -s 127.0.0.1 -i ! lo -j errore1

protegge dallo spoofing poichè rigetta i pacchetti aventi l'IP del 
loopback (127.0.0.1) non provenienti dall'interfaccia di loopback ( -i ! 
lo ).
La riga

iptables  -A INPUT -i ppp0 -s 192.168.0.0/255.255.0.0 -j errore1

invece protegge perchè intercetta i pacchetti con IP 192.168.0.0/16 (che 
come è noto non sono routabili su Internet) provenienti dall'interfaccia 
ppp0, il che dovrebbe essere impossibile.
Per coerenza dovresti aggiungere due righe analoghe anche per gli IP 
10.0.0.0/8 e 172.16.0.0/12

La riga del file di log è abbastanza strana... In pratica dice: "Ehi, 
amico! Sull'interfaccia ppp0, ossia da Internet, ho ricevuto un 
pacchetto con provenienza 192.168.140.67 - che è chiaramente un 
indirizzo locale - e destinazione 151.42.76.113 - che è invece un 
indirizzo Internet"
Sebbene non ne capisca la finalità, direi che sembra proprio un 
pacchetto spoofato...
Ma le domande sono:
1) qual è l'IP della tua ppp0 ?
2) A che cosa sei collegato ?

Aldo

Maggiori informazioni sulla lista flug-tech