[Tech] Log del firewall - pacchetti droppati in OUTPUT

Aldo Podavini a.podavini@mclink.it
Mer 17 Mar 2004 12:15:45 CET


Ciao a tutti.

Sul log del mio firewall vengono registrati dei drop sulla catena di 
output della cui spiegazione non sono sicuro.
Questi sono i log:

> Mar 16 15:52:53 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=217.133.39.196 LEN=48 TOS=0x00 
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=13834 WINDOW=5840 
> RES=0x00 ACK SYN URGP=0
> Mar 17 00:00:01 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=209.204.175.217 LEN=60 TOS=0x00 
> PREC=0x00 TTL=64 ID=28260 DF PROTO=TCP SPT=49255 DPT=80 WINDOW=5840 
> RES=0x00 SYN URGP=0
> Mar 17 05:19:38 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=65.82.70.5 LEN=48 TOS=0x00 PREC=0x00 
> TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=4753 WINDOW=5840 RES=0x00 ACK SYN 
> URGP=0
> Mar 17 10:55:50 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00 
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1606 WINDOW=5840 
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:56:39 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00 
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1610 WINDOW=5840 
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:56:40 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00 
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1613 WINDOW=5840 
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:57:04 quasimodo kernel: Droppati dal frontOut (2.3) IN= 
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00 
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1614 WINDOW=5840 
> RES=0x00 ACK SYN URGP=0


Insomma, sono dei pacchetti ACK SYN uscenti dalla porta 80 verso 
indirizzi vari (che non conosco), ossia delle risposte a dei tentativi 
di connessione al server http. Quello che è strano è che non vengano 
riconosciuti come RELATED alle richieste di connessione stesse.
 
Le regole (semplificando) sono:

> IF1=eth1
> NET1=217.56.xxx.xxx/29
>
> # INPUT da frontend
> $IPT -t filter -A INPUT -i $IF1 -j frontend
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 80 -j ACCEPT
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 443 -j ACCEPT
> $IPT -t filter -A frontend -p icmp --icmp-type echo-request -s 0/0 -d 
> $NET1 -j ACCEPT
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 1024:65535 
> -j ACCEPT
> $IPT -t filter -A frontend -p udp -s 0/0 -d $NET1 --dport 1024:65535 
> -j ACCEPT
> $IPT -t filter -A frontend -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPT -t filter -A frontend -j LOG --log-prefix "Droppati dal frontend 
> $ver "
> $IPT -t filter -A frontend -p tcp -j REJECT --reject-with tcp-reset
> $IPT -t filter -A frontend -j DROP
>
> #OUTPUT su frontend
> $IPT -t filter -A OUTPUT -o $IF1 -j frontOut
> $IPT -t filter -A frontOut -s 0/0 -d 0/0 -m state --state 
> ESTABLISHED,RELATED -j ACCEPT
> $IPT -t filter -A frontOut -j LOG --log-prefix "Droppati dal frontOut 
> $ver "
> $IPT -t filter -A frontOut -p tcp -j REJECT --reject-with tcp-reset
> $IPT -t filter -A frontOut -j DROP


Secondo voi di cosa si tratta ?

Grazie
Aldo





Maggiori informazioni sulla lista flug-tech