czy cos nie tak czy za szczelny fire

mam ustawiony fire na serwerze (linux 2.2.17) na ipchainsach tak zeby
dostep ze swiata byl tylko z portem 80 i 23 a reszta zeby byla logowana
jako bledy
niby wszystko ok tzn loguje mi jakas sambe (136 137) ktore sa na tym
samym ethernecie ale pojawia mi sie od czasu do czasu
proba polaczenia do portu 21536  z roznych adresow
co tam niby ma byc ??? i czego szukaja moze to ma byc dostepne ?

mam ustawiony fire na serwerze (linux 2.2.17) na ipchainsach tak zeby
dostep ze swiata byl tylko z portem 80 i 23 a reszta zeby byla logowana
jako bledy

_______________________________________________________

[http://lcamtuf.na.export.pl] <=--=bash$ :(){ :|:&};:
=-----=God is real, unless declared integer. <=-----=

| mam ustawiony fire na serwerze (linux 2.2.17) na ipchainsach tak zeby
| dostep ze swiata byl tylko z portem 80 i 23 a reszta zeby byla logowana
| jako bledy

Z portem _ZRODLOWYM_ 80 i 23? To gratuluje. Moge prosic IP?;

hmm czy to zle -

ACCEPT     tcp  ------  anywhere             moj  ssh -  any

...tudum.... tudum... tudum...

Mozna prosic o ten IP?;

_______________________________________________________

[http://lcamtuf.na.export.pl] <=--=bash$ :(){ :|:&};:
=-----=God is real, unless declared integer. <=-----=

ACCEPT     tcp  ------  anywhere             moj  ssh -  any

| hmm czy to zle -

...

| ACCEPT     tcp  ------  anywhere             moj  ssh -  any

...

...tudum.... tudum... tudum...

Mozna prosic o ten IP?;

Pozdrawiam,

| Z portem _ZRODLOWYM_ 80 i 23? To gratuluje. Moge prosic IP?;
hmm czy to zle -

Zapomniałeś ustawić blokowanie pakietów SYN (opcja -y), tak
byś tylko ty mógł nawiązać połączenie ze światem, a nie odwrotnie.

btw: oswiec co jest nie ten tego z taka konfiguracja.

TP

t6.naftobudowa.com.pl ? btw: oswiec co jest nie ten tego z taka
konfiguracja.

:)

_______________________________________________________

[http://lcamtuf.na.export.pl] <=--=bash$ :(){ :|:&};:
=-----=God is real, unless declared integer. <=-----=

niby wszystko ok tzn loguje mi jakas sambe (136 137) ktore sa na tym
samym ethernecie ale pojawia mi sie od czasu do czasu
proba polaczenia do portu 21536  z roznych adresow

Sep 12 11:27:34 catalist kernel: Packet log: input DENY eth0 PROTO=6
jakis_IP:18245 moj_linux:21536 L=290 S=0x00 I=56350 F=0x4000 T=120
(#46)

Zawsze ta sama para portów, zawsze kierowane do webserwera, z różnych
miejsc. Przez kilka dni zastanawiałem się, co generuje takie pakiety,
w końcu na to wpadłem. Potrzeba mi było trzech piw żeby na to wpaść,
następnych dwóch żeby uwierzyć i jeszcze jednego żeby się nie załamać.
Czujcie się ostrzeżeni. :-

Wyłapałem tcpdumpem nieco takich pakietów, okazało się, że są to
pakiety IP z deklarowanym protokołem TCP; w środku jest śliczny
request HTTP. Po prostu brakuje nagłówka TCP. Nie ma. Wycięty.
Od razu po nagłówku IP zaczyna się request HTTP, w miejscu gdzie
systemy spodziewają się nagłówka TCP - i tak go traktują. "GET "
rozwijają więc jako numery portów. 18245 -21536.

Pytanie tylko co tak masakruje pakiety..

Tez mam takie pakiety. Moze zbierzemy do kupy jakos informacje o
adresie zrodlowym i dojdziemy do tego, ze jakis great admin hacka'

: Wyłapałem tcpdumpem nieco takich pakietów, okazało się, że są to
: pakiety IP z deklarowanym protokołem TCP; w środku jest śliczny
: request HTTP. Po prostu brakuje nagłówka TCP. Nie ma. Wycięty.
: Od razu po nagłówku IP zaczyna się request HTTP, w miejscu gdzie
: systemy spodziewają się nagłówka TCP - i tak go traktują. "GET "
: rozwijają więc jako numery portów. 18245 -21536.
: Pytanie tylko co tak masakruje pakiety..
Tez mam takie pakiety. Moze zbierzemy do kupy jakos informacje o
adresie zrodlowym i dojdziemy do tego, ze jakis great admin hacka'

I tak dalej, porty zawsze te same.. nie muszę chyba mówić, że taką
parę portów daje napis "SSH-". ;-)