Hola a todos:
No es que yo entienda mucho del tema pero cuando estuve leyendo me
pareció entender que la infección sólo puede darse en caso de que la máquina
tenga una IP púbica, nunca a través de un router.
Es decir, la máquina que ya está infectada y quiere infectar a otra,
intenta establecer un comunicación contra una IP de una máquina (que ha de
tener W2000 o XP instalado y con el correspondiente bug para aceptar la
llamada). Intenta establecer la comunicación. Lo cual no es lo normal,
puesto que cuando nosotros accedemos a internet somos nosotros los que
establecemos la comunicación y no al revés.
Por tanto, la infección puede ocurrir si:
- se usa un módem y nuesto ISP nos de una IP fija al conectarnos
Por ejemplo Telefónica lo hace así, pero creo que Euskaltel
no lo hace así porque usa otro método (tiene un pull de direcciones IP o
algo así).
- Se tiene un PC en internet con IP fija y W200 XP y este PC
puede contactar de algún modo con la red interna.
Y ahora, espero que alguien que sepa de verdad del tema me saque los colores
por las barbaridades que he podido decir.
----- Original Message -----
From: "Angel Vicente Perez" <[EMAIL PROTECTED]>
To: <debian-user-spanish@lists.debian.org>
Sent: Tuesday, May 11, 2004 9:55 AM
Subject: RE: Sasser e iptables
> >
> > Por lo que tengo entendido, no deberías forwardear nada (ni
> > desde afuera hacia adentro, ni desde adentro hacia afuera)
> > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :(
> >
> > Saludos
> > Marcelo
>
> Bien, por la falta de sintomas (reseteos), diria que no hay ninguna
maquina
> infectada.
>
> Tengo una duda: todas estas maquinas son filtradas a traves de la maquina
> con iptables, y despues salen a traves de un router, que es el que
realmente
> tiene la IP publica.
>
> La intrusion efectuada por el Sasser, se efectuaria a la interface con IP
> publica de mi router, o lo traspasaria.
>
> Por otro lado, tengo en mi firewall :
>
> iptables -P FORWARD DROP como politica por defecto
>
> luego tengo todas las lineas correspondientes a los PC que pueden hacer
> FORWARD al exterior, y despues tengo
>
> iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j
> ACCEPT
>
> siendo eth1 la tarjeta que une la maquina con iptables y el router.
Entiendo
> que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis
> PCs, y con origen exterior, son consecuencia de conexiones originadas en
mis
> PCs. Si es asi, no se si seria una proteccion suficiente.
>
> Saludos
>
>
