Re: Iptables, fastweb, stranezze.

To: `matte <himatz@tiscali.it>
Cc: ML Debian Italian <debian-italian@lists.debian.org>
Subject: Re: Iptables, fastweb, stranezze.
From: Pierfrancesco Caci <ik5pvx@penny.ik5pvx.ampr.org>
Date: 13 Oct 2002 10:43:54 +0200
Message-id: <[🔎] 87adlisp85.fsf@penny.ik5pvx.ampr.org>
Reply-to: Pierfrancesco Caci <pf@tippete.net>
In-reply-to: <[🔎] 20021013080507.GA4959@home.xs>
References: <[🔎] 20021013080507.GA4959@home.xs>

:-> "`matte" == `matte  <himatz@tiscali.it> writes:

    > Ciao, ho notato una cosa strana.
    > Loggando con iptables in questo modo :
    > $IPT -t nat -A PREROUTING -i $IIF -s 192.168.0.0/0 -j LOG (..etc)

    > Nei file di log mi ritrovo poi :
    > Oct 13 09:39:31 mat kernel: FW IN=ppp0 OUT= MAC= SRC=213.140.10.139
    > DST=80.117.113.2 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=15014 DF PROTO=TCP
    > SPT=2233 DPT=16000 WINDOW=16384 RES=0x00 SYN URGP=0

    > Questo è un utente fastweb, il quale non riusciva a collegarsi a me
    > perchè io, in cima al firewall, negavo l'accesso a 192.168.0.0/0
    > .

no, questo e` un utente fastweb che cerca di collegarsi alla tua porta
16000, in tcp. Da dove ti viene l'idea che 192.168.0.0 c'entri
qualcosa con questa linea di log ?

    > Ma come mai succede questo? Gli utenti fastweb sono tutti in una LAN
    > interna percui magari originariamente hanno anche IP 192.168.x.x, ma una
    > volta che escono vengono mascherati! Come mai io loggo i sorgenti da
    > 192.168.0.0/0 e mi "matcha" anche l'IP 213.140.10.139 che in teoria è
    > uno dei server che mascherano la rete interna di fastweb?

se tu sei un utente telecom, blocca tutti gli indirizzi privati
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e stai tranquillo. 

    > Inoltre mi arriva un sacco di porcheria da 192.168.100.1 (ip remoto
    > dell'ADSL di telecom) non destinata a me ma ad un indirizzo IANA
    > riservato (224.0.0.13).... normale?? ;-)

Si e` normale: 

29: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc pfifo_fast qlen 3
    link/ppp 
    inet 62.211.xxx.yyy peer 192.168.100.1/32 scope global ppp0

Il concentratore adsl di telecom e` sempre 192.168.100.1 (se ci fai
caso, la tua ppp0 come remote address ti dice che parla con
192.168.100.1), e quel 224.0.0.13 e` un indirizzo di multicast che ora
mi sfugge. Lo fa anche a me. Io lo droppo senza loggare. Fine del
gioco. Figurati che una volta mi sono trovato annunci RIP sulla porta
adsl, poi per fortuna se ne sono accorti e l'hanno levati (piu' che
altro perche` un utente malizioso avrebbe potuto sputtanare il routing
alla telecom).

Ciao

Pf "nel dubbio droppa"

-- 

-------------------------------------------------------------------------------
 Pierfrancesco Caci | ik5pvx | mailto:p.caci@tin.it  -  http://gusp.dyndns.org
  Firenze - Italia  | Office for the Complication of Otherwise Simple Affairs 
     Linux penny 2.4.20-pre5 #1 Sat Sep 7 20:43:24 CEST 2002 i686 unknown unknown GNU/Linux

Reply to:

Follow-Ups:
- Re: Iptables, fastweb, stranezze.
  - From: `matte <himatz@tiscali.it>

References:
- Iptables, fastweb, stranezze.
  - From: `matte <himatz@tiscali.it>

Prev by Date: Iptables, fastweb, stranezze.
Next by Date: Re: Iptables, fastweb, stranezze.
Previous by thread: Iptables, fastweb, stranezze.
Next by thread: Re: Iptables, fastweb, stranezze.
Index(es):
- Date
- Thread