[ml] Problema con router Zyxell ADSL

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2005 ml@sikurezza.org
Soggetto: [ml] Problema con router Zyxell ADSL
Mittente: Gelpi Andrea
Data: Mon,  8 Aug 2005 19:16:15 +0200 (CEST)

Salve, ho un route Zyxell Prestige 650H-E1 a cui è attaccata una piccola lan che esce su Internet con 1 IP fisso.

Su tale apparato ho abilitato i log e nei log esistono delle sessioni letteralmente inventate.

Ecco un esempio.

8|08/06/2005 23:45:57 |192.168.1.252:10135 |213.21.187.194:20480 |ACCESS FORWARD none: TCP 9|08/06/2005 23:45:57 |192.168.1.252:38695 |213.21.187.194:80 |ACCESS FORWARD Firewall default policy: TCP (L to W)

Facendo delle verifiche sia dal lato LAN che da quello WAN la sessione destinata alla porta 20480 non è mai esistita fuori dal router, nel senso che l'IP sorgente (secondo TCPDUMP) apre solo la sessione verso la porta 80, mentre il destinatario (secondo iptables) vede arrivare solo la sessione sulla porta 80. Come è giusto che sia il destinatario la sessione la vede su una porta differente da quella loggata (c'è di mezzo un masquerade). Un'altra caratteristica è che tutti i PC della rete interna che aprono sessioni verso la porta 80 vengono loggati anche con una seconda sessione sempre verso la porta 20480. Le sessioni verso la porta 25 hanno sempre una corrispondente sessione fantasma verso la 6400. Le uniche sessioni che non aprono fantasmi sono le sessioni verso la porta 123 (NTP), ma sono anche le uniche in cui la porta sorgente è uguale cioè sempre 123.

Sul PC di partenza un netstat -an, fatto mentre la pagina si carica nel browser, non visualizza nessuna sessione in partenza con porta 10135, e su quella porta non risultano processi in ascolto. Stesso risultato utilizzando tcpdump, si vede solo la sessione verso la porta 80.

La cosa che caratterizza tutte queste sessioni inventate è il commento, tutte hanno "NONE: TCP".

Ho fatto delle ricerche nel knoledge base di Zyxell senza successo.

Quello che vorrei capire è se questo è un comportamento "normale" o se c'è un quanlche problema sul router.

Il firmware l'ho aggiornato alcuni mesi fa alla versione rilasciata a fine anno scorso.

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************

Messaggi successivi:
- Re: [ml] Problema con router Zyxell ADSL, Claudio Telmon

Data:
- precedente: [ml] [OT] What The Hack video workshop, filippo
- successivo: RE: [ml] autenticazioni centralizzate per Linux, Alfredo Cozzino
- indice

Argomento:
- precedente: [ml] [OT] What The Hack video workshop, filippo
- successivo: Re: [ml] Problema con router Zyxell ADSL, Claudio Telmon
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005