[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: strani pacchetti dalla telecom??!?!
Mittente: Francesco
Data: 17 Oct 2003 21:45:00 -0000
Salve, 

ho un gateway/firewall openbsd 3.2-current che permette ad una piccola lan
di condividere un adsl telecom 256.

Oggi ho notato che mi arrivano ininterrotamente e a distanza di pochi
secondi questi pacchetti:

bash-2.05b# tcpdump -vvv -n -i tun0 host 127.0.0.1
tcpdump: listening on tun0
22:02:29.311281 127.0.0.1.80 > 80.181.xxx.xxx.1863: R [tcp sum ok] 0:0(0) ack 298319873 win 0 (ttl 126, id 23255)
22:02:34.547142 127.0.0.1.80 > 80.181.xxx.xxx.1693: R [tcp sum ok] 0:0(0) ack 521142273 win 0 (ttl 123, id 63691)
22:02:34.815893 127.0.0.1.80 > 80.181.xxx.xxx.1407: R [tcp sum ok] 0:0(0) ack 2013003777 win 0 (ttl 121, id 33517)
22:02:40.584049 127.0.0.1.80 > 80.181.xxx.xxx.1696: R [tcp sum ok] 0:0(0) ack 1570308097 win 0 (ttl 126, id 52497)

ecc ecc.

Da 127.0.0.1... uhmm per cui ho provato a vedere se almeno il firewall
me li bloccava e invece:

bash-2.05b# tcpdump -vvv -n -i pflog0 host 127.0.0.1
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0
^C
1 packets received by filter
0 packets dropped by kernel

a pflog0 non arrivava niente!

Di seguito vi elenco le mie prime regole del firewall.....

bash-2.05b# pfctl -s rules
@0 scrub in all fragment reassemble
@1 block in log all
@2 block out log all
@3 pass in quick on rl1 all
@4 pass in quick on rl0 all
@5 pass in quick on lo0 all
@6 pass out quick on rl1 all
@7 pass out quick on rl0 all
@8 pass out quick on lo0 all
@9 pass in quick on tun0 inet proto igmp from 192.168.100.1 to any allow-opts
@10 pass in quick on tun0 inet proto pim from 192.168.100.1 to any allow-opts
@11 pass in quick on tun0 inet proto ipv6 from xxx.xxx.xxx.xxx to any
@12 pass out quick on tun0 inet proto ipv6 from any to xxx.xxx.xxx.xxx
@13 block in log quick on tun0 inet from 255.255.255.255 to any
@14 block in log quick on tun0 inet from 10.0.0.0/8 to any
@15 block in log quick on tun0 inet from 172.16.0.0/12 to any
@16 block in log quick on tun0 inet from 192.168.0.0/16 to any
@17 block in log quick on tun0 inet from 127.0.0.0/8 to any

alla riga 17 non dovrebbe bloccare direttamente quei pacchetti in arrivo?
Perche' non lo fa'? E soprattutto..... da dove vengono quei pacchetti?

Grazie, ciauzzzzzz

p.s.: le regole 9 e 10 del firewall servono giusto per evitare di loggare tutte le
richieste pim e igmp che mi arrivano dalla telecom.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005