Re: accessi DALLA port 80

Beh, per capire se qualcuno ha richiesto l'indirizzo, aggiungi un log per 
quella destinazione!
iptables -A FORWARD (o OUTPUT, dipende dalla tua config) -p tcp -d 
207.68.185.48 -j LOG --log-prefix "Scopriamo l'arcano: "

Dido

<snip>
>attivando un LOG su accessi non previsti dalla mia serie di regole, sto
>trovando cose di questo tipo:
>Jun 26 16:47:17 Stargate kernel: INGRESSO SU PORETE ALTE: IN=eth1 OUT=
>MAC=00:50:ba:5c:ed:de:00:07:50:7e:67:e0:08:00 SRC=207.68.185.48
>DST=Il.Mio.IP.Pubblico LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=24432 DF PROTO=TCP
>SPT=80 DPT=3945 WINDOW=17027 RES=0x00 ACK URGP=0
>La regola che scatena il log e':
>iptables -A INPUT   -i eth1 -p tcp --dport 1024:65535  -m state --state NEW
>-j LOG --log-prefix "INGRESSO SU PORETE ALTE: "
>quindi DA una port 80 a una port alta;
>ovviamente non ho delle corrispondenze nei log ne di squid (nessuno ha quindi
>ufficialmente chiesto qualcosa a quel server passando da squid) ne neil log
>di apache.
>apparentemente, dal traceroute, l'IP sembra immerso nei meandri di MSN.
>E' possibile riuscire a chiarire la cosa, ad esempio capire (la butto li'...)
>se vi e' un contatto partito  da una macchina interna  WIndows (oltre a Linux
>abbiamo solo 98, niente XP 2000 NT) o che altro?



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List