On Sun, Oct 13, 2002 at 10:43:54AM +0200, Pierfrancesco Caci wrote: > > Loggando con iptables in questo modo : > > $IPT -t nat -A PREROUTING -i $IIF -s 192.168.0.0/0 -j LOG (..etc) > > > Nei file di log mi ritrovo poi : > > Oct 13 09:39:31 mat kernel: FW IN=ppp0 OUT= MAC= SRC=213.140.10.139 > > DST=80.117.113.2 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=15014 DF PROTO=TCP > > SPT=2233 DPT=16000 WINDOW=16384 RES=0x00 SYN URGP=0 > > > Questo è un utente fastweb, il quale non riusciva a collegarsi a me > > perchè io, in cima al firewall, negavo l'accesso a 192.168.0.0/0 > > . > > no, questo e` un utente fastweb che cerca di collegarsi alla tua porta > 16000, in tcp.
Esatto, è quel che ho detto ;-) Comunque per la cronaca quella è una connessione DCC Chat fatta da lui a me, e se non sbaglio irc prevede che il ricevente (io) apra la porta e l'altro si connetta ad essa. > Da dove ti viene l'idea che 192.168.0.0 c'entri > qualcosa con questa linea di log ? Non è un idea, se la tolgo entra altrimenti no! Se blocco 192.168.0.0/16 o /24 o /32 entra lo stesso, se uso /0 (che dovrebbe matchare tutte le classi (A, B e C), giusto?), allora non entra. Inoltre quel comando è l'unico all'interno del firewall che logga qualcosa (l'ho messo per prova, di solito non loggo nulla), ed è per forza lui che produce quel log. A me sembra stranissimo...ma è così. > se tu sei un utente telecom, blocca tutti gli indirizzi privati > (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e stai tranquillo. E' quello che ho sempre pensato anche io.... Comunque quel /0 non mi convince, avete qualche doc da farmi leggere per approfondire il discorso delle classi? So che quel che viene dopo lo slash è un abbreviazione della maschera, so che ci sono varie classi di reti private, ma ho confusione in testa... > > Inoltre mi arriva un sacco di porcheria da 192.168.100.1 (ip remoto > > dell'ADSL di telecom) non destinata a me ma ad un indirizzo IANA > > riservato (224.0.0.13).... normale?? ;-) > > Si e` normale: Ok ;-) > Il concentratore adsl di telecom e` sempre 192.168.100.1 (se ci fai > caso, la tua ppp0 come remote address ti dice che parla con > 192.168.100.1), e quel 224.0.0.13 e` un indirizzo di multicast che ora > mi sfugge. Lo fa anche a me. Io lo droppo senza loggare. Si, anche io, il fatto è che mentre loggavo il 192.168.0.0/0 mi prendeva anche quello e mi chiedevo cosa fosse, no problem allora, come pensavo. > Figurati che una volta mi sono trovato annunci RIP sulla porta > adsl, poi per fortuna se ne sono accorti e l'hanno levati (piu' che > altro perche` un utente malizioso avrebbe potuto sputtanare il routing > alla telecom). Non ti seguo...annunci RIP? > Pf "nel dubbio droppa" Certo :> Ciao e tnx. -- GnuPG fingerprint: 3C4D 4D2A 3BBE B24B 4EC2 60E7 6FFE 947C 9CAE 9642