Cred ca le-am cam incurcat eu..( scuze).. am in fata un cisco 2500 in care am scris permit tcp any reteaua_mea gt 1023 permit udp any reteaua_mea gt 1023 ..oricum acum vad ca nu mai trece FIN-ul cind scanez cu nmap ...dar trebuie sa mai fac teste sa vad cine opreste FIN-ul .. > > > ----- Original Message ----- > From: "Stefan Laudat" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Thursday, March 01, 2001 7:14 PM > Subject: [rlug] Re: IPTABLES- SMTP > > > > > > > - in momentul cind scanez pe FIN cu nmap ( -sF -P0 ( pt ca nu accepta > icmp)) > > > acum imi arata ca porturile sint inchise la un scan pe cu -sF) dar la n > scan > > > cu CIBERcop ( NT) imi spune ca le am deschise pe FIN ...?? > > > > dubios... oricum nu vad regula explicita pt FIN aici in afara de cele > comentate. > > > > > cind scanez cu nmap de la 1-1024 firewall-ul nu imi face log pe FIN > scann > > > cinsd scanez insa toate porturile de la 1024 in ss imi face log... > > > > > > > > > $IPTABLES -P INPUT DROP > > > $IPTABLES -P OUTPUT ACCEPT > > > $IPTABLES -P FORWARD DROP > > > > > > $IPTABLES -N DROPnLOG 2> /dev/null > > > $IPTABLES -F DROPnLOG > > > $IPTABLES -A DROPnLOG -p udp --sport 137:138 --dport 137:138 -j DROP > > > $IPTABLES -A DROPnLOG -p tcp ! --syn --sport 80 --dport 1024: -j ACCEPT > > > #$IPTABLES -A DROPnLOG -p tcp --tcp-flags FIN FIN -m state --state > > > INVALID -j DROP > > > #$IPTABLES -A DROPnLOG -p tcp --tcp-flags FIN FIN -j DROP > > > > aici incerci sa faci ceva cu deny,dar fin-urile unde vrei sa le loghezi ? > :( > > duplica regulile cu LOG.. > > din chainul asta nu ma prind cum iti face tie drop pe FIN-uri la port > > 1024... > > > > > > > > $IPTABLES -A INPUT -d $DMZ -p tcp --dport 25 -j ACCEPT > > > $IPTABLES -A FORWARD -d $DMZ -p tcp --dport 25 -j ACCEPT > > > > > > $IPTABLES -t nat -A PREROUTING -p tcp -d $EXTERNALIP --dport 25 -j > DNAT --to > > > > zici tu asa : > > $IPTABLES -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPTABLES -A STATEFUL -m state --state NEW -i ! $LOCALIF -j ACCEPT > > $IPTABLES -A STATEFUL -j DROPnLOG > > > > > > adica tot ce e in afara de established si new se baga in drop&log si cred > ca fin-ul > > tau o ia pe aci (nefiind una din ele). > > nu ma prind daca ai pe altundeva prin firewall reguli specifice pt 0:1024 > inainte > > ca sa ajunga in STATEFUL (care vad ca e pusa la urma). > > > > > > > Mar 1 10:47:05 ns kernel: DENY: IN=eth0 > > > > > OUT= MAC=00:a0:24:4a:6a:72:00:50:54:80:58:8b:08:00 > > > > > > > > > > SRC=XX.XX.XX.XX > > > > > > > > > > DST=YY.YY.YY.YY > > > > > > > > > > LEN=52 TOS=0x00 PREC=0x00 TTL=244 ID=34599 DF PROTO=TCP > > > > > > > > > > SPT=25 > > > > > > > > > > DPT=3116 > > > > > > > > > > WINDOW=32942 > > > > > > > > > > RES=0x00 > > > > > > > > > > ACK FIN URGP=0 > > > > asta e conexiune venita din afara, right ? > > SPT=25 e cel de la ei, deci cand trimiti mail... > > > > > > -- > > Stefan Laudat > > ------------- > > And on the seventh day, He exited from append mode. > > > > --- > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to > > unsubscribe from this list. > --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
