Prezados Colegas, Abaixo seguem algumas entradas estranhas que peguei em meu sistema de Firewall. Fiz uma an�lise inicial das mesmas, mas ainda assim fiquei com d�vidas.
Se algum dos colegas puder dar uma olhada e complementar, ou at� mesmo corrigir minhas observa��es, ficarei muito grato. Sugest�es de sites com documenta��o relativas as mensagens tamb�m s�o bem-vindas. Os endere�os das m�quinas locais est�o referenciados como IP_LOCAL1, IP_LOCAL2, IP_LOCAL3 e IP_LOCAL4. Destes endere�os, apenas o IP_LOCAL2 poderia enviar pacotes em resposta � solicita��es (� um servidor). Os IP_LOCAL1 e IP_LOCAL4, em condi��es normais n�o devem enviar pacotes de forma direta e o IP_LOCAL3 n�o est� sendo utilizado por nehuma m�quina. Abaixo seguem as entradas e o que percebi com rela��o as mesmas: Sep| 4 04:13:14 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT= MAC=00:10:4b:c5:67:14:00:04:4d:31:9e:f8:08:00 SRC=150.99.198.190 DST=IP_LOCAL1 LEN=56 TOS=0x00 PREC=0x00 TTL=231 ID=0 PROTO=ICMP TYPE=11 CODE=0 [SRC=IP_LOCAL1 DST=200.180.88.16 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=32250 PROTO=TCP INCOMPLETE [8 bytes] ] ** Esta entrada, aparentemente, faz supor que o router/m�quina 150.99.198.190 mandou um Time Exceeded, TTL-Zero-During-Transit para o IP_LOCAL1 que teria tentado se comunicar com a m�quina 200.180.88.16. O primeiro problema � que o IP_LOCAL1 nunca � usado diretamente e segundo, esta m�quina n�o tem por que tentar acessos diretos a lugar nenhum. Outro ponto � que a suposta m�quina destino (200.180.88.16 / 56-max-uol-mfa-015.netuno.com.br) � um servidor Brasileiro (pertencente ao dom�nio netuno.com.br) e a m�quina/router que enviou o erro (150.99.198.190 / sinet-gate-tokyo-G0-2-0.sinet.ad.jp) est� no jap�o (pertencente ao dom�nio sinet.ad.jp). ** Sep| 4 04:21:25 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT=eth1 SRC=193.251.241.238 DST=IP_LOCAL2 LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=0 PROTO=ICMP TYPE=11 CODE=0 [SRC=IP_LOCAL2 DST=200.180.88.16 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=57969 PROTO=TCP INCOMPLETE [8 bytes] ] ** Esta entrada � do mesmo tipo da anterior, s� que o router/m�quina que mandou o erro agora � 193.251.241.238 que pertence ao dom�nio New-york.opentransit.net (P6-0.NYKBB3.New-york.opentransit.net) e a m�quina de Origem do tr�fego (IP_LOCAL2) poderia gerar tr�fego, mas apenas em resposta. Poderia parecer uma ocorr�ncia normal se, o endere�o de destino n�o fosse id�ntico ao da entrada anterior que gerou a primeira suspeita. Desta forma, pode-se concluir que esta entrada tamb�m poderia ser forjada. ** Sep| 4 04:35:19 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT=eth3 SRC=200.184.193.193 DST=IP_LOCAL3 LEN=56 TOS=0x00 PREC=0xC0 TTL=243 ID=54258 PROTO=ICMP TYPE=11 CODE=0 [SRC=IP_LOCAL3 DST=200.180.88.104 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=1248 PROTO=TCP INCOMPLETE [8 bytes] ] ** Outra entrada no mesmo esquemas das duas anteriores. Desta vez, o IP_LOCAL3 nem em uso est�. E a origem do erro (200.184.193.193 / intelig-ge3-0-0-nxrspo101.intelignet.com.br) pertence ao dominio intelignet.com.br. O suposto destino que gerou o erro (200.180.88.104 / 56-max-uol-mfa-103.netuno.com.br) pertence ao mesmo dom�nio netuno.com.br das entradas anteriores. ** Sep| 4 08:12:50 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT= MAC=00:10:4b:c5:67:14:00:04:4d:31:9e:f8:08:00 SRC=216.194.65.22 DST=IP_LOCAL4 LEN=56 TOS=0x00 PREC=0x00 TTL=40 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=IP_LOCAL4 DST=216.194.68.186 LEN=13568 TOS=0x00 PREC=0x00 TTL=39 ID=0 FRAG:64 PROTO=ICMP ] ** Esta entrada foi uma das que me deixou com mais d�vidas. O IP que gerou o erro (216.194.65.22 / fw-vps-fxp0.edm.tera-byte.com) mandou o erro para o IP_LOCAL4, por�m isto deixa a entender que a m�quina IP_LOCAL4 enviou um pacote ICMP para 216.194.68.186 (otimo.com). O problema � que a m�quina IP_LOCAL4 n�o envia pacotes ICMP de requisi��o (pelo menos n�o deveria). Poderia enviar de resposta. ** Sep| 4 11:50:47 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT= MAC=00:10:4b:c5:67:14:00:04:4d:31:9e:f8:08:00 SRC=216.194.65.22 DST=IP_LOCAL4 LEN=56 TOS=0x00 PREC=0x00 TTL=40 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=IP_LOCAL4 DST=216.194.68.210 LEN=15104 TOS=0x00 PREC=0x00 TTL=39 ID=0 FRAG:64 PROTO=ICMP ] ** Esta entrada � praticamente id�ntica a anterior, mudando apenas o IP do suposto destino (216.194.68.210 / servidordedns.com). ** Sep| 4 18:40:18 frw1 kernel: FIREWALL: Invalid! IN=eth3 OUT=eth1 SRC=200.198.113.209 DST=IP_LOCAL2 LEN=56 TOS=0x00 PREC=0x00 TTL=51 ID=11871 DF PROTO=ICMP TYPE=4 CODE=0 [SRC=IP_LOCAL2 DST=10.10.0.42 LEN=1500 TOS=0x00 PREC=0x00 TTL=64 ID=65163 DF PROTO=TCP INCOMPLETE [8 bytes] ] ** Esta entrada, com c�digo Source Quench, poderia ser considerada normal se n�o fosse o IP do suposto destino (10.10.0.42) que � n�o-rote�vel na Internet e, portanto, imposs�vel de atingir diretamente. ** Mais uma vez obrigado por qualquer ajuda. Abra�os, F�bio T. Vieira Linux Registered User: #150991 ______________________________________________________________ Intertrim - Internet Inteligente - http://www.InterTrim.com.Br Assinantes em 10/09/2002: 2232 Mensagens recebidas desde 07/01/1999: 182468 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
