Lista, bom dia.
O meu servidor de entrada (NAT/FIREWALL) está rodando o debian 4.0 r3, com kernel 2.6.24 e iptables 1.4.0.
A única porta aberta para a entrada é a porta de ssh alternativa, do resto está tudo fechado para conexões entrantes.
Depois de liberar estas duas regras, coloco um log no sistema e logo após a regra de bloqueio.
Pasei o nmap de uma rede externa e confirma que de fato todas as demais portas, exceto a de ssh, estão filtradas.
Vendo meu log encontrei várias linhas (cerca de 3000) dessa forma:
Apr 1 17:31:23 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC="" DST=MEU_IPLEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=3357 DF PROTO=TCP SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 1 17:31:26 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC="" DST=MEU_IP LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=4337 DF PROTO=TCP SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 1 17:31:32 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC="" DST=MEU_IP LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=6056 DF PROTO=TCP SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0
Isto é uma tentativa de intrusão certo?
Acredito que o invasor não está conseguindo acesso, o meu sistema está normal e segundo o nmap as portas estão devidamente protegidas. Porém, há alguma atitude que eu posso tomar, além de um bloqueio de portas? Tipo algo pra derrubar a conexão do cara ou algo similar para que o cara deixe de ficar tentando entrar na máquina?
Obrigado a todos.
Daniel