[Tech] messaggi dal firewall

Aldo Podavini a.podavini@mclink.it
Ven 29 Ott 2004 18:53:15 CEST 

Ho una box che funge da gateway tra una lan e internet.
eth1 è sulla lan (192.168.0.0/16) , eth3 su internet.
I client della lan accedono al web tramite un proxy locale.
Nei log mi compaiono sequenze siffatte:

> Oct 29 10:34:40 minosse2 kernel: Droppato, LanWan (2.0b) IN=eth1 
> OUT=eth3 SRC=192.168.110.40 DST=216.239.39.99 LEN=48 TOS=0x00 
> PREC=0x00 TTL=118 ID=25870 DF PROTO=TCP SPT=1351 DPT=80 WINDOW=8192 
> RES=0x00 SYN URGP=0
> Oct 29 10:34:40 minosse2 kernel: Droppato, WanLan (2.0b) IN=eth3 
> OUT=eth1 SRC=216.239.39.99 DST=192.168.110.40 LEN=40 TOS=0x00 
> PREC=0x00 TTL=253 ID=0 DF PROTO=TCP SPT=80 DPT=1351 WINDOW=0 RES=0x00 
> ACK RST URGP=0

Ora, la prima riga mi è chiara: un client maleducato sta cercando di 
accedere al web direttamente, ossia tentando di bypassare il proxy locale.
Ma la seconda ?
Come fa ad arrivare una risposta dall'esterno, visto che il pacchetto in 
uscita è stato droppato ?!
Ho pensato che possa essere la risposta del firewall stesso (infatti ho 
un "reject-with tcp-reset"), ma non mi spiego come possa essere "IN=eth3 
OUT=eth1".

Le regole del firewall sono:

> [root@minosse2 root]# iptables -L lanWan
> Chain lanWan (2 references)
> target     prot opt source               destination
> LOG        all  -- !192.168.0.0/16       anywhere            LOG level 
> warning prefix `Droppato, LanWan (2.0b) '
> DROP       all  -- !192.168.0.0/16       anywhere
> ACCEPT     all  --  anywhere             anywhere            state 
> RELATED,ESTABLISHED
> ACCEPT     icmp --  anywhere             anywhere            icmp 
> echo-request
> ACCEPT     tcp  --  anywhere             ftpav.ca.com        tcp 
> dpt:ftp-data
> ACCEPT     tcp  --  anywhere             ftpav.ca.com        tcp dpt:ftp
> ACCEPT     tcp  --  anywhere             anywhere            tcp 
> dpt:ftp-data
> ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
> ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
> ACCEPT     tcp  --  anywhere             anywhere            tcp 
> dpt:telnet
> ACCEPT     tcp  --  anywhere             anywhere            tcp 
> spt:ntp dpt:ntp
> ACCEPT     udp  --  anywhere             anywhere            udp 
> spt:ntp dpt:ntp
> LOG        all  --  anywhere             anywhere            LOG level 
> warning prefix `Droppato, LanWan (2.0b) '
> REJECT     tcp  --  anywhere             anywhere            
> reject-with tcp-reset
> DROP       all  --  anywhere             anywhere

> [root@minosse2 root]# iptables -L wanLan
> Chain wanLan (2 references)
> target     prot opt source               destination
> DROP       all  --  192.168.0.0/16       anywhere
> ACCEPT     all  --  anywhere             anywhere            state 
> RELATED,ESTABLISHED
> LOG        all  --  anywhere             anywhere            LOG level 
> warning prefix `Droppato, WanLan (2.0b) '
> REJECT     tcp  --  anywhere             anywhere            
> reject-with tcp-reset
> DROP       all  --  anywhere             anywhere



Grazie
Aldo

Maggiori informazioni sulla lista flug-tech