On Mon, 5 Apr 2004 18:42:07 +0300 "Angel Viudez" <[EMAIL PROTECTED]> wrote:
> Gracias a todos por las respuestas. Respecto al mail de Cristoph me > gustar�a replicar, jeje. Me siento honrado. > B�sicamente porque s�lo me sale desde hace poco tiempo, y llevo el > firewall-proxy funcionando m�s de dos a�os. El mensaje que me llega > a syslog es este: Esto de "s�lo desde hace poco" generalmente no es un buen indicador para nada. Puede ser que antes simplemente no te habias fijado, o que has instalado un programa o una versi�n de un programa que dispara este efecto que antes no se habia manifestado. > @IP origen: 127.0.0.1 > @MAC origen: 00:02:fc:85:30:70 > @IP destino: X.X.X.181 <-- mi IP en eth0 > @MAC destino: 00:40:f4:74:47:cd <-- mi MAC en eth0 > Como he dicho, la MAC origen la he localizado en una m�quina de la > red de mi ISP. Es decir, los paquetes me llegan desde fuera!, no s� > como decirlo. > Adjunto mi script de firewall-nat. Aunque no tengo nada estra�o: > algunas redirecciones, alguna redirecci�n tambi�n, permito s�lo ssh > cerrando lo dem�s.redirecci�n tambi�n. No ha llegado el script, pero tampoco es necesario. Si tienes una policy DROP por defecto e si tienes s�lo el el ssh abierto desde fuera, quiere decir que el protocolo de los marcionos es tcp y la puerta 22? Tu firewall is stateful? Es decir que para todo lo que sale tambi�n puede entrar la respuesta? > En esto discrepo. He snifado con tcpdump y he instalado snort para > ver los logs. Los paquetes se reciben en eth0, desde fuera, estoy > seguro y los logs me lo confirman. Adem�s, vienen desde una MAC que > he localizado en un hosts de la red mi ISP. No dices (o yo no lo he visto) que protocolo es. Poderian ser paquetes de respuesta de un router que no quiere dejar pasar IPs internos? > Bueno, por lo general 1 IP <-> 1 MAC. Si bien es cierto que existen > Proxys ARP y que, por otro lado, puedes configurar una ethernet con > m�s de una IP. Pero si cuando env�as una petici�n ARP s�lo una > contesta, cuando lo hacen 2 mal asunto, querr�a decir que alguien > est� intentando spoofear. 1 IP por cada MAC es lo normal en los PCs, per no en routers de provedores. Cuanto mas grandes tanto menos normal. Y esto no es necesariamente un spoof. Un spoof es s�lo cuando adopto una identidade que no tengo, pero estos dispositivos si tienen esta identidad, por lo menos en este instante. > Mis reglas NAT son una regla solamente. No creo que el > enmascaramiento tenga m�s historia. Adem�s, el enmascaramiento > consigue que mi proxy act�e como intermediario, si fuese problema de > las reglas NAT estos mensajes se trasladar�an dentro mi propia LAN. Encuanto no enmasqueras 127.0.0.1 estar� de acuerdo. Ah, el proxy est� en esta m�quina? El squid s� hace mucho ruido... > Vuelvo a repetir, el problema es que recibo paquetes desde el exterior, en > mi eth0, con direcci�n IP de origen 127.0.0.1, que es imposible. Buscando > por internet a bastante gente le pasa y suele corresponder con alg�n > graciosillo que se est� intentando divertir. No s� que tienen que ver mis > reglas en esto y, la verdad, tampoco s� como tendr�a que configurar IPTABLES > para conseguir el mismo efecto, por criterios de simplicidad sigo pensanso > que no es mi problema. ;) Bueno, el paquete viene de fuera. Entonces supondr� que has mirado tambi�n que son los primeros e no respuestas a otros. > A�n as� adjunto mi script por si so�s capaces de ver algo que pueda > ser el origen del problema, en cuyo caso tendr� que retractarme de > todo lo dicho. Casi que prefiero que sea eso, as� lo solucionar�a > de forma m�s f�cil. Me doy por vencido. Al fin y al cabo, no me has dado mas que 0.01% de chance. Christoph Simon
