Re: Alguien sabe algo de martians?
On Mon, 5 Apr 2004 18:42:07 +0300
"Angel Viudez" <krispi03@casal.upc.es> wrote:
> Gracias a todos por las respuestas. Respecto al mail de Cristoph me
> gustaría replicar, jeje.
Me siento honrado.
> Básicamente porque sólo me sale desde hace poco tiempo, y llevo el
> firewall-proxy funcionando más de dos años. El mensaje que me llega
> a syslog es este:
Esto de "sólo desde hace poco" generalmente no es un buen indicador
para nada. Puede ser que antes simplemente no te habias fijado, o que
has instalado un programa o una versión de un programa que dispara
este efecto que antes no se habia manifestado.
> @IP origen: 127.0.0.1
> @MAC origen: 00:02:fc:85:30:70
> @IP destino: X.X.X.181 <-- mi IP en eth0
> @MAC destino: 00:40:f4:74:47:cd <-- mi MAC en eth0
> Como he dicho, la MAC origen la he localizado en una máquina de la
> red de mi ISP. Es decir, los paquetes me llegan desde fuera!, no sé
> como decirlo.
> Adjunto mi script de firewall-nat. Aunque no tengo nada estraño:
> algunas redirecciones, alguna redirección también, permito sólo ssh
> cerrando lo demás.redirección también.
No ha llegado el script, pero tampoco es necesario. Si tienes una
policy DROP por defecto e si tienes sólo el el ssh abierto desde
fuera, quiere decir que el protocolo de los marcionos es tcp y la
puerta 22? Tu firewall is stateful? Es decir que para todo lo que
sale también puede entrar la respuesta?
> En esto discrepo. He snifado con tcpdump y he instalado snort para
> ver los logs. Los paquetes se reciben en eth0, desde fuera, estoy
> seguro y los logs me lo confirman. Además, vienen desde una MAC que
> he localizado en un hosts de la red mi ISP.
No dices (o yo no lo he visto) que protocolo es. Poderian ser paquetes
de respuesta de un router que no quiere dejar pasar IPs internos?
> Bueno, por lo general 1 IP <-> 1 MAC. Si bien es cierto que existen
> Proxys ARP y que, por otro lado, puedes configurar una ethernet con
> más de una IP. Pero si cuando envías una petición ARP sólo una
> contesta, cuando lo hacen 2 mal asunto, querría decir que alguien
> está intentando spoofear.
1 IP por cada MAC es lo normal en los PCs, per no en routers de
provedores. Cuanto mas grandes tanto menos normal. Y esto no es
necesariamente un spoof. Un spoof es sólo cuando adopto una
identidade que no tengo, pero estos dispositivos si tienen esta
identidad, por lo menos en este instante.
> Mis reglas NAT son una regla solamente. No creo que el
> enmascaramiento tenga más historia. Además, el enmascaramiento
> consigue que mi proxy actúe como intermediario, si fuese problema de
> las reglas NAT estos mensajes se trasladarían dentro mi propia LAN.
Encuanto no enmasqueras 127.0.0.1 estaré de acuerdo.
Ah, el proxy está en esta máquina? El squid sí hace mucho ruido...
> Vuelvo a repetir, el problema es que recibo paquetes desde el exterior, en
> mi eth0, con dirección IP de origen 127.0.0.1, que es imposible. Buscando
> por internet a bastante gente le pasa y suele corresponder con algún
> graciosillo que se está intentando divertir. No sé que tienen que ver mis
> reglas en esto y, la verdad, tampoco sé como tendría que configurar IPTABLES
> para conseguir el mismo efecto, por criterios de simplicidad sigo pensanso
> que no es mi problema. ;)
Bueno, el paquete viene de fuera. Entonces supondré que has mirado
también que son los primeros e no respuestas a otros.
> Aún así adjunto mi script por si soís capaces de ver algo que pueda
> ser el origen del problema, en cuyo caso tendré que retractarme de
> todo lo dicho. Casi que prefiero que sea eso, así lo solucionaría
> de forma más fácil.
Me doy por vencido. Al fin y al cabo, no me has dado mas que 0.01% de
chance.
Christoph Simon
Reply to: