[Gutl-l] Varias dudas con cortafuegos

Thu, 11 Aug 2016 01:03:58 -0700 

Hola colegas,
En estos días me he "entretenido" revisando las trazas y modificando la configuración de un servidor todo-en-uno, y me han surgido unas dudas, perdonen si las pongo todas en un mismo mensaje. 


1- ¿Hasta que punto es válido que un nameserver de Etecsa realice 
consultas DNS a una subred a la cual aun no han realizado una delegación 
de zona?



2- ¿Hasta que punto es válido que el servidor responda desde la intefaz 
local y utilizando la MAC 00:00:00:00:00:00 a paquetes de consultas DNS 
locales? (se emplea dnsmasq para uso interno)



3- Si el servidor está inmediatamente detrás de un router, y hace 
regularmente consultas a un nameserver público de Google como fallback a 
los nameservers de Etecsa, ¿cuán válido puede ser que este nameserver de 
Google envíe de vez en cuando desde el puerto 53 nuevos paquetes udp al 
rango de puertos 44444-44644? ¿No se supone que quien debería establecer 
el tamaño máximo de no fragmentación es el router, que es el primer 
elemento físico de la red con la cual el nameserver intenta comunicarse?



4- ¿Hasta qué punto es válido que un equipo envíe paquetes con estado 
RELATED pero por protocolo TCP y desde puertos que ningún servicio está 
utilizando y que además no se han permitido explícitamente como destino 
en las cadenas INPUT ni FORWARD (teniendo el cortafuegos políticas de 
denegación por defecto en ambas)?


Por ejemplo:
Interfaz de origen: (N/A)
Interfaz de destino: eth1 (WAN)
IP de origen: IP externa asignada por Etecsa

IP de destino: varias (45.33.120.128, 45.56.74.212, 71.6.135.131, 
93.115.85.145, 93.174.95.106, 94.102.49.174, 95.85.21.223, 
139.162.34.142, 209.58.129.109, etc.)

Protocolo: TCP

Puertos de origen: varios (175, 2252, 3000, 3333, 3391, 5009, 8090, 
8443, etc.)

Puerto de destino: varios (generalmente superiores al 25000)
Estado: RELATED


5- ¿Acaso existe un tamaño máximo permitido sin fragmentación (en 
bytes) para una operación de traceroute? En tal caso, ¿alguien conoce el 
valor?


Saludos, Hugo
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l






















					Responder a