> > Por lo que tengo entendido, no deberķas forwardear nada (ni > desde afuera hacia adentro, ni desde adentro hacia afuera) > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( > > Saludos > Marcelo
Bien, por la falta de sintomas (reseteos), diria que no hay ninguna maquina infectada. Tengo una duda: todas estas maquinas son filtradas a traves de la maquina con iptables, y despues salen a traves de un router, que es el que realmente tiene la IP publica. La intrusion efectuada por el Sasser, se efectuaria a la interface con IP publica de mi router, o lo traspasaria. Por otro lado, tengo en mi firewall : iptables -P FORWARD DROP como politica por defecto luego tengo todas las lineas correspondientes a los PC que pueden hacer FORWARD al exterior, y despues tengo iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j ACCEPT siendo eth1 la tarjeta que une la maquina con iptables y el router. Entiendo que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis PCs, y con origen exterior, son consecuencia de conexiones originadas en mis PCs. Si es asi, no se si seria una proteccion suficiente. Saludos
