salut,
Mes logs d'iptable indiquent souvent de nombreuses lignes comme celles-ci :
Aug 19 08:47:47 gateway kernel: SPOOFED packet:IN=eth0 OUT=
MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=10.1.79.2
DST=81.57.124.44 LEN=56 TOS=0x00 PREC=0x00 TTL=245 ID=34694 PROTO=ICMP
TYPE=3 CODE=1 [SRC=81.57.124.44 DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00
PREC=0x00 TTL=66 ID=59454 PROTO=TCP INCOMPLETE [8 bytes] ]
ou encore
Aug 19 18:53:19 gateway kernel: SPOOFED packet:IN=eth0 OUT=
MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=192.168.27.53
DST=xxx.xxx.xxx.xxx LEN=357 TOS=0x00 PREC=0x00 TTL=54 ID=26174 DF
PROTO=TCP SPT=80 DPT=58212 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
ou encore
Aug 11 00:57:21 gateway kernel: SPOOFED packet:IN=eth0 OUT=
MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=192.168.11.253 DST=81.
57.124.44 LEN=78 TOS=0x00 PREC=0x00 TTL=109 ID=27779 PROTO=UDP SPT=1027
DPT=137 LEN=58
xxx.xxx.xxx.xxx = ip publique de mon serveur
00:40:05:49:4F:6E = adresse mac de ma carte ethernet externe
Voici la conf iptable que genere ces logs :
#####################################################################
### SPOOFING RULE
#####################################################################
# Regle contre le spoofing
iptables -N SPOOFED
iptables -A SPOOFED -m limit --limit 3/minute --limit-burst 3 -j LOG
--log-level warning --log-prefix "SPOOFED packet:"
iptables -A SPOOFED -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -s 192.168.0.0/16 -j SPOOFED
iptables -A INPUT -i $EXTERNAL_INTERFACE -s 10.0.0.0/8 -j SPOOFED
iptables -A INPUT -i $EXTERNAL_INTERFACE -s 172.16.0.0/12 -j SPOOFED
iptables -A INPUT -i $EXTERNAL_INTERFACE -s 224.0.0.0/4 -j SPOOFED
que pensez vous des regles fw ?
quelqu'un a t il ce genre de logs ?
merci d'avance !
jerome
