[rlug] Re: IPTABLES- SMTP

Thu, 01 Mar 2001 08:53:29 -0800 


> - in momentul cind scanez pe FIN cu nmap ( -sF -P0 ( pt ca nu accepta icmp))
> acum imi arata ca porturile sint inchise la un scan pe cu -sF) dar la n scan
> cu CIBERcop ( NT) imi spune ca le am deschise pe FIN ...??

dubios... oricum nu vad regula explicita pt FIN aici in afara de cele comentate.

> cind scanez cu nmap de la 1-1024 firewall-ul nu imi face log pe FIN scann
> cinsd scanez insa toate porturile de la 1024 in ss imi face log...
> 
> 
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT ACCEPT
> $IPTABLES -P FORWARD DROP
> 
> $IPTABLES -N DROPnLOG 2> /dev/null
> $IPTABLES -F DROPnLOG
> $IPTABLES -A DROPnLOG -p udp --sport 137:138 --dport 137:138 -j DROP
> $IPTABLES -A DROPnLOG -p tcp ! --syn --sport 80 --dport 1024: -j ACCEPT
> #$IPTABLES -A DROPnLOG -p tcp --tcp-flags  FIN FIN -m state --state
> INVALID -j DROP
> #$IPTABLES -A DROPnLOG -p tcp --tcp-flags  FIN FIN -j DROP

aici incerci sa faci ceva cu deny,dar fin-urile unde vrei sa le loghezi ? :(
duplica regulile cu LOG..
din chainul asta nu ma prind cum iti face tie drop pe FIN-uri la port > 1024...

> 
> $IPTABLES -A INPUT -d $DMZ -p tcp --dport 25 -j ACCEPT
> $IPTABLES -A FORWARD -d $DMZ -p tcp --dport 25 -j ACCEPT
> 
> $IPTABLES -t nat -A PREROUTING -p tcp -d $EXTERNALIP --dport 25 -j DNAT --to

zici tu asa :
$IPTABLES -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A STATEFUL -m state --state NEW -i ! $LOCALIF -j ACCEPT
$IPTABLES -A STATEFUL -j DROPnLOG


adica tot ce e in afara de established si new se baga in drop&log si cred ca fin-ul
tau o ia pe aci (nefiind una din ele).
nu ma prind daca ai pe altundeva prin firewall reguli specifice pt 0:1024 inainte
ca sa ajunga in STATEFUL (care vad ca e pusa la urma).

> > > Mar  1 10:47:05 ns kernel: DENY: IN=eth0
> > > OUT= MAC=00:a0:24:4a:6a:72:00:50:54:80:58:8b:08:00
> > >
> > > SRC=XX.XX.XX.XX
> > >
> > > DST=YY.YY.YY.YY
> > >
> > > LEN=52 TOS=0x00 PREC=0x00 TTL=244 ID=34599 DF PROTO=TCP
> > >
> > > SPT=25
> > >
> > > DPT=3116
> > >
> > >  WINDOW=32942
> > >
> > >  RES=0x00
> > >
> > >  ACK FIN URGP=0

asta e conexiune venita din afara, right ?
SPT=25 e cel de la ei, deci cand trimiti mail...


-- 
Stefan Laudat
-------------
And on the seventh day, He exited from append mode.

---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.

Raspunde prin e-mail lui