Re: Iptables, fastweb, stranezze.
On Sun, Oct 13, 2002 at 10:43:54AM +0200, Pierfrancesco Caci wrote:
> > Loggando con iptables in questo modo :
> > $IPT -t nat -A PREROUTING -i $IIF -s 192.168.0.0/0 -j LOG (..etc)
>
> > Nei file di log mi ritrovo poi :
> > Oct 13 09:39:31 mat kernel: FW IN=ppp0 OUT= MAC= SRC=213.140.10.139
> > DST=80.117.113.2 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=15014 DF PROTO=TCP
> > SPT=2233 DPT=16000 WINDOW=16384 RES=0x00 SYN URGP=0
>
> > Questo è un utente fastweb, il quale non riusciva a collegarsi a me
> > perchè io, in cima al firewall, negavo l'accesso a 192.168.0.0/0
> > .
>
> no, questo e` un utente fastweb che cerca di collegarsi alla tua porta
> 16000, in tcp.
Esatto, è quel che ho detto ;-)
Comunque per la cronaca quella è una connessione DCC Chat fatta da lui a
me, e se non sbaglio irc prevede che il ricevente (io) apra la porta e
l'altro si connetta ad essa.
> Da dove ti viene l'idea che 192.168.0.0 c'entri
> qualcosa con questa linea di log ?
Non è un idea, se la tolgo entra altrimenti no! Se blocco 192.168.0.0/16
o /24 o /32 entra lo stesso, se uso /0 (che dovrebbe matchare tutte le
classi (A, B e C), giusto?), allora non entra.
Inoltre quel comando è l'unico all'interno del firewall che logga
qualcosa (l'ho messo per prova, di solito non loggo nulla), ed è per
forza lui che produce quel log. A me sembra stranissimo...ma è così.
> se tu sei un utente telecom, blocca tutti gli indirizzi privati
> (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e stai tranquillo.
E' quello che ho sempre pensato anche io....
Comunque quel /0 non mi convince, avete qualche doc da farmi leggere per
approfondire il discorso delle classi? So che quel che viene dopo lo
slash è un abbreviazione della maschera, so che ci sono varie classi di
reti private, ma ho confusione in testa...
> > Inoltre mi arriva un sacco di porcheria da 192.168.100.1 (ip remoto
> > dell'ADSL di telecom) non destinata a me ma ad un indirizzo IANA
> > riservato (224.0.0.13).... normale?? ;-)
>
> Si e` normale:
Ok ;-)
> Il concentratore adsl di telecom e` sempre 192.168.100.1 (se ci fai
> caso, la tua ppp0 come remote address ti dice che parla con
> 192.168.100.1), e quel 224.0.0.13 e` un indirizzo di multicast che ora
> mi sfugge. Lo fa anche a me. Io lo droppo senza loggare.
Si, anche io, il fatto è che mentre loggavo il 192.168.0.0/0 mi prendeva
anche quello e mi chiedevo cosa fosse, no problem allora, come pensavo.
> Figurati che una volta mi sono trovato annunci RIP sulla porta
> adsl, poi per fortuna se ne sono accorti e l'hanno levati (piu' che
> altro perche` un utente malizioso avrebbe potuto sputtanare il routing
> alla telecom).
Non ti seguo...annunci RIP?
> Pf "nel dubbio droppa"
Certo :>
Ciao e tnx.
--
GnuPG fingerprint: 3C4D 4D2A 3BBE B24B 4EC2 60E7 6FFE 947C 9CAE 9642
Reply to: