Poizé ... eu concordo contigo ... Me desculpe se não fui claro, vejam o que acontece ...
No meu IPTABLES há a seguinte regra: iptables -A PREROUTING -t nat -i eth0 -d 201.x.y.59 -p tcp --dport 80 -j DNAT --to 192.168.1.5 iptables -A POSTROUTING -t nat -s 192.168.1.5 -p tcp -j SNAT --to 201.x.y.59 Como "na frente" no meu IPTABLEs há o HLBR, e no arquivo hlbr.conf eu tenho a seguinte configuração: <IPList www> 201.x.y.59 201.x.y.60 201.x.y.61 </list> no arquivo rules : <include rules/webattacks.rules> e no arquivo webattacks.rules <rule> ip dst(www) tcp dst(80) tcp regex(^PUT ) message=(http-4-re) PUT method action=action1 </rule> então, penso que eu não deveria ter no log do IIS os registros a seguir: Line 26742 : 2007-08-25 14:55:01 85.104.81.17 - 192.168.1.5 80 PUT /dilxaz.htm - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Line 27171 : 2007-08-25 14:56:04 85.104.81.17 - 192.168.1.5 80 PUT /dilxaz.htm - 200 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Line 27173 : 2007-08-25 14:56:06 85.104.81.17 - 192.168.1.5 80 PUT /dilxaz.htm - 200 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Line 12875 : 2007-08-01 11:52:07 88.226.184.223 - 192.168.1.5 80 PUT /zuzummmm.htm - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Line 13888 : 2007-08-01 12:01:00 88.226.250.28 - 192.168.1.5 80 PUT /ramses.htm - 200 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Line 14625 : 2007-08-01 12:02:55 88.226.250.28 - 192.168.1.5 80 PUT /ramses.htm - 200 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 Ou seja: mesmo eu tendo uma regra bloqueando explicitamente a ação "PUT", pacotes executando um "PUT" chegam ao meu IIS. E a regra é padrão do HLBR, não fui eu quem a redigiu. Entenderam ? --- Em [email protected], "ROBERTO ALMEIDA" <[EMAIL PROTECTED]> escreveu > > Cara.... > > Na minha opinião, acho que você deveria logar todo o trafego que passa para > esse host e depois analisar!!! > Nessa análise você vera o que pode ser ataque ou não dae você faz uma regra > no hlbr usando expressão regular e dropa o que é suspeito. > > Isso é minha opinião se eu estiver errado me corrigam os mais experientes. > > t+ > > Roberto Almeida > [EMAIL PROTECTED] >
