[ml] SYNFLOOD causa DOS

Salve a tutti,
abbiamo implementato un nuovo firewall e stiamo
facendo
delle prove dall'interno con nmap: ciò che abbiamo 
notato è un DOS che pare causato dalla presenza o meno

di queste regole che riporto

SYNOPT="-m limit --limit 5/second --limit-burst 10"

# SYN Flood protection
$IPT -N SYN_FLOOD
$IPT -A SYN_FLOOD -p tcp --syn $SYNOPT -j RETURN
$IPT -A SYN_FLOOD -p ! tcp -j RETURN
$IPT -A SYN_FLOOD -p tcp ! --syn -j RETURN
$IPT -A SYN_FLOOD -j DROP

$IPT -A IN_NETWORK -p tcp --syn -j SYN_FLOOD
$IPT -A IN_FIREWALL -p tcp --syn -j SYN_FLOOD

Se lancio un nmap verso il firewall in LAN, di fatto 
nessuna delle porte (in particolare abbiamo testato la

22) è raggiungibile; ciò invece non accade se nmap è
lanciato da un altro server remoto sempre verso il fw.

Se però modifico le due entry come segue:

$IPT -A IN_NETWORK -p tcp --syn -s ! 192.168.1.0/24 -j
SYN_FLOOD
$IPT -A IN_FIREWALL -p tcp --syn -s ! 192.168.1.0/24
-j SYN_FLOOD

non ho più lockato l'accesso al server. Suppongo che
l'effetto differente tra nmap in lan e non sia legato
ai parametri --limit-burst e --limit : qualquno ha
suggerimenti in merito?
Grazie mille.

ARCETRAX



	

	
		
__________________________________________________________ 
Find your next car at http://autos.yahoo.ca