[Tech] Log del firewall - pacchetti droppati in OUTPUT
Aldo Podavini
a.podavini@mclink.it
Mer 17 Mar 2004 12:15:45 CET
Ciao a tutti.
Sul log del mio firewall vengono registrati dei drop sulla catena di
output della cui spiegazione non sono sicuro.
Questi sono i log:
> Mar 16 15:52:53 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=217.133.39.196 LEN=48 TOS=0x00
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=13834 WINDOW=5840
> RES=0x00 ACK SYN URGP=0
> Mar 17 00:00:01 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=209.204.175.217 LEN=60 TOS=0x00
> PREC=0x00 TTL=64 ID=28260 DF PROTO=TCP SPT=49255 DPT=80 WINDOW=5840
> RES=0x00 SYN URGP=0
> Mar 17 05:19:38 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=65.82.70.5 LEN=48 TOS=0x00 PREC=0x00
> TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=4753 WINDOW=5840 RES=0x00 ACK SYN
> URGP=0
> Mar 17 10:55:50 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1606 WINDOW=5840
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:56:39 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1610 WINDOW=5840
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:56:40 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1613 WINDOW=5840
> RES=0x00 ACK SYN URGP=0
> Mar 17 10:57:04 quasimodo kernel: Droppati dal frontOut (2.3) IN=
> OUT=eth1 SRC=217.56.xxx.xxx DST=80.182.250.248 LEN=48 TOS=0x00
> PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=1614 WINDOW=5840
> RES=0x00 ACK SYN URGP=0
Insomma, sono dei pacchetti ACK SYN uscenti dalla porta 80 verso
indirizzi vari (che non conosco), ossia delle risposte a dei tentativi
di connessione al server http. Quello che è strano è che non vengano
riconosciuti come RELATED alle richieste di connessione stesse.
Le regole (semplificando) sono:
> IF1=eth1
> NET1=217.56.xxx.xxx/29
>
> # INPUT da frontend
> $IPT -t filter -A INPUT -i $IF1 -j frontend
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 80 -j ACCEPT
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 443 -j ACCEPT
> $IPT -t filter -A frontend -p icmp --icmp-type echo-request -s 0/0 -d
> $NET1 -j ACCEPT
> $IPT -t filter -A frontend -p tcp -s 0/0 -d $NET1 --dport 1024:65535
> -j ACCEPT
> $IPT -t filter -A frontend -p udp -s 0/0 -d $NET1 --dport 1024:65535
> -j ACCEPT
> $IPT -t filter -A frontend -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPT -t filter -A frontend -j LOG --log-prefix "Droppati dal frontend
> $ver "
> $IPT -t filter -A frontend -p tcp -j REJECT --reject-with tcp-reset
> $IPT -t filter -A frontend -j DROP
>
> #OUTPUT su frontend
> $IPT -t filter -A OUTPUT -o $IF1 -j frontOut
> $IPT -t filter -A frontOut -s 0/0 -d 0/0 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPT -t filter -A frontOut -j LOG --log-prefix "Droppati dal frontOut
> $ver "
> $IPT -t filter -A frontOut -p tcp -j REJECT --reject-with tcp-reset
> $IPT -t filter -A frontOut -j DROP
Secondo voi di cosa si tratta ?
Grazie
Aldo
Maggiori informazioni sulla lista
flug-tech