accessi DALLA port 80

Un saluto a tutti,

spulciando qua e la sto tentando di mettere in piedi un firewall almeno 
decente, utilizzando iptables;

attivando un LOG su accessi non previsti dalla mia serie di regole, sto 
trovando cose di questo tipo:

Jun 26 16:47:17 Stargate kernel: INGRESSO SU PORETE ALTE: IN=eth1 OUT= 
MAC=00:50:ba:5c:ed:de:00:07:50:7e:67:e0:08:00 SRC=207.68.185.48 
DST=Il.Mio.IP.Pubblico LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=24432 DF PROTO=TCP 
SPT=80 DPT=3945 WINDOW=17027 RES=0x00 ACK URGP=0 
La regola che scatena il log e':
iptables -A INPUT   -i eth1 -p tcp --dport 1024:65535  -m state --state NEW 
-j LOG --log-prefix "INGRESSO SU PORETE ALTE: "

quindi DA una port 80 a una port alta;
ovviamente non ho delle corrispondenze nei log ne di squid (nessuno ha quindi 
ufficialmente chiesto qualcosa a quel server passando da squid) ne neil log 
di apache.
apparentemente, dal traceroute, l'IP sembra immerso nei meandri di MSN.

E' possibile riuscire a chiarire la cosa, ad esempio capire (la butto li'...) 
se vi e' un contatto partito  da una macchina interna  WIndows (oltre a Linux 
abbiamo solo 98, niente XP 2000 NT) o che altro?

Ringrazio e saluto,
ciao!

RIc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List