[Tech] filtraggio singola porta

[Leonardo Boselli]

Su una macchina che fa da fw ho queste tabelle:

===========
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  localnet/24          150.217.9.194 to:192.168.193.194
DNAT       all  --  localnet/24          150.217.9.195 to:192.168.193.195
DNAT       all  --  localnet/24          150.217.9.197 to:192.168.193.197

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.193.194      anywhere            to:150.217.9.194
SNAT       all  --  192.168.193.195      anywhere            to:150.217.9.195
SNAT       all  --  192.168.193.197      anywhere            to:150.217.9.197

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
==========

Cosa mi serve di più ? fare si che le macchine all'interno 
(192.168.193.0/24) non possano accedere alla porta 25 se non verso 
150.217.9.0/27 (che è cosa diversa dal port25 hijacking, visto che se non 
è uno dei server di posta locali, non devono mandare, e visto che i virus 
usano di solito uno degli mx secondari del dominio vittima, il non farli 
uscire risolve, in alternativa datemi la ricetta per fare si che se tentano mi 
vengano redirezionati su una porta nota su un server noto in modo che 
se ad esempio sul server 'sbirro' vedo arrivare un collegamento sulla 
porta 844 so per certo che è un virus, o alla meglio una macchina 
malconfigurata)

--
Leonardo Boselli
Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
tel +39 0554796431 cell +39 3488605348 fax +39 055495333
http://www.dicea.unifi.it/~leo