Que porras era eso del anti-spoofin?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pues que estoy conectando mi viejo SuSE 7.3 a través del router al "nuevo" con SuSE 9.3,, y quiero hacer ftp y no puedo. El cortafuegos del 7.3 me dice: SuSE-FW-DROP-ANTI-SPOOFIN=ETH0 MAC=... SRC=192.168.1.12 DST=192.168.1.11 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=21 DPT=1035 WINDOW=5792 RES=0x00 ACK SYN URGP=0 OPT (...) Mas o menos, lo he copiado a mano para no meterme con el ssh ahora. El caso es que no se a que se refiere, no caigo... porque parece que la conexión al puerto 21 se establece, la veo en el otro ordenador. Pero el ftp no se conecta, dice "Connection timed out". Falta algo, pero no lo veo. Por ssh (desde el 9.3 al 7.3) me dice exactamente lo mismo, ahora que me fijo :-o Y el puerto está abierto: FW_TRUSTED_NETS="192.168.1.12,tcp,ftp 192.168.1.12,tcp,ftp-data 192.168.1.12,tcp,ssh" y también he probado con FW_SERVICES_TCP. ¿Tendrá que ver con el router? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+M+ftTMYHG2NR9URAmLRAJ9vzebBypyLsTDnSjLJ874S44ax1QCeJoFR H0ACJ9dyzmte8CTzoUOtR38= =LSIb -----END PGP SIGNATURE-----
On 19/02/06, Carlos E. R.
Pues que estoy conectando mi viejo SuSE 7.3 a través del router al "nuevo" con SuSE 9.3,, y quiero hacer ftp y no puedo. El cortafuegos del 7.3 me dice:
SuSE-FW-DROP-ANTI-SPOOFIN=ETH0 MAC=... SRC=192.168.1.12 DST=192.168.1.11 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=21 DPT=1035 WINDOW=5792 RES=0x00 ACK SYN URGP=0 OPT (...)
Segun tengo entendido, tiene algo que ver con que en las tablas arp tienen almacenados la misma IP con diferentes direcciones mac o invalidas. Saludos
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-19 a las 15:27 -0500, Juan Carlos Bravo Celis escribió:
Segun tengo entendido, tiene algo que ver con que en las tablas arp tienen almacenados la misma IP con diferentes direcciones mac o invalidas.
Pues tienes toda la razón. Había apagado ese ordenador, lo he vuelto a encender, y efectivamente, ahora funciona a la primera. Le cambié la IP al ordenador, efectivamente, y por lo visto esa tabla no se borra hasta que reseteas. Curioso. ¿Habrá otra forma? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+Q8XtTMYHG2NR9URAgLVAJsFNDBGS7W66vjXsKdtI/Qv+jp5QwCeLJoq OC1T8CmuIUksocNg5lbXIbo= =mrgC -----END PGP SIGNATURE-----
El 19/02/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-02-19 a las 15:27 -0500, Juan Carlos Bravo Celis escribió:
Segun tengo entendido, tiene algo que ver con que en las tablas arp tienen almacenados la misma IP con diferentes direcciones mac o invalidas.
Pues tienes toda la razón. Había apagado ese ordenador, lo he vuelto a encender, y efectivamente, ahora funciona a la primera.
Le cambié la IP al ordenador, efectivamente, y por lo visto esa tabla no se borra hasta que reseteas. Curioso. ¿Habrá otra forma?
mmmm.... mmmm... no tengo certeza absoluta, pero, se no me equivoco, la informacion de la tabla arp queda en cache hasta que la se elmine o reinicie la maquina !!! para eliminar alguna entrada se utiliza el comando "arp -d maquina" para mas info man arp !!! salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
El 20/02/06, Carlos E. R. escribió:
Le cambié la IP al ordenador, efectivamente, y por lo visto esa tabla no se borra hasta que reseteas. Curioso. ¿Habrá otra forma?
Prueba con la lista de seguridad (suse-security), seguramente estén al tanto de este tema. Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-20 a las 11:04 +0100, Camaleón escribió:
Le cambié la IP al ordenador, efectivamente, y por lo visto esa tabla no se borra hasta que reseteas. Curioso. ¿Habrá otra forma?
Prueba con la lista de seguridad (suse-security), seguramente estén al tanto de este tema.
Desde luego, pero por un lado, el problema se soluciónó con un reset, tendría que volver a cambiar las IPs para reproducirlo y es una lata, cambiando el dns y todo. Buf. Y por otro, es un SuSE 7.3, por lo que si eso lo causaba un problema de software, el cortafuegos ha tenido mucho desarrollo, y es un tanto baladí preguntarles sobre eso. Me muerden :-p - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+ZYQtTMYHG2NR9URAlFjAJ4l73+0shOlDAD3hI2TlWe/ny7Y0ACfVmgY tlgEifos6Q87QYtj7HU13Qg= =29j7 -----END PGP SIGNATURE-----
El 19/02/06, Carlos E. R. escribió:
¿Tendrá que ver con el router?
Si tienes un cable de red cruzado puedes probar a conectar los equipos directamente y ver así si se trata del router o de la configuración del cortafuegos. Me decanto por lo segundo (cortafuegos) ya que los routers sólo actuan como tales (enrutadores) en el puerto wan, las conexiones lan suelen ser meros switches 10/100. Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-19 a las 21:35 +0100, Camaleón escribió:
El 19/02/06, Carlos E. R. escribió:
¿Tendrá que ver con el router?
Si tienes un cable de red cruzado puedes probar a conectar los equipos directamente y ver así si se trata del router o de la configuración del cortafuegos.
Siempre ha estado conectado con cable cruzado y funcionando. Lo que ha cambiado en el cortafuegos es que antes era la interfaz interna, y ahora esa misma tarjeta la considero externa en el cortafuegos, y va al cortafuegos, que es el de la adsl. También ha cambiado la IP. Era eso, el cambio de IP... cuando he hecho un reboot ha funcionado a la primera. Tenía razón Juan Carlos. No me lo quería creer, pero es eso, me funcionan el ssh y el ftp. Y el ntpdate contra el otro pc.
Me decanto por lo segundo (cortafuegos) ya que los routers sólo actuan como tales (enrutadores) en el puerto wan, las conexiones lan suelen ser meros switches 10/100.
Creo que este es un router de verdad, con iptables y todo: Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 21 -j DROP Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 80 -j DROP Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 23 -j DROP Feb 19 11:41:51 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --dport 53 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --sport 161 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --sport 520 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --dport 67:68 - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+REgtTMYHG2NR9URAnG6AJwMcIhzjc+MVlea61bs17AYTacZWACeKA/U IfXojph9+HiKrxImcmwkbjM= =RgoO -----END PGP SIGNATURE-----
Carlos E. R. escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-02-19 a las 21:35 +0100, Camaleón escribió:
El 19/02/06, Carlos E. R. escribió:
¿Tendrá que ver con el router?
Si tienes un cable de red cruzado puedes probar a conectar los equipos directamente y ver así si se trata del router o de la configuración del cortafuegos.
Siempre ha estado conectado con cable cruzado y funcionando. Lo que ha cambiado en el cortafuegos es que antes era la interfaz interna, y ahora esa misma tarjeta la considero externa en el cortafuegos, y va al cortafuegos, que es el de la adsl. También ha cambiado la IP.
Era eso, el cambio de IP... cuando he hecho un reboot ha funcionado a la primera.
Tenía razón Juan Carlos. No me lo quería creer, pero es eso, me funcionan el ssh y el ftp. Y el ntpdate contra el otro pc.
Me decanto por lo segundo (cortafuegos) ya que los routers sólo actuan como tales (enrutadores) en el puerto wan, las conexiones lan suelen ser meros switches 10/100.
Creo que este es un router de verdad, con iptables y todo:
Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 21 -j DROP Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 80 -j DROP Feb 19 01:04:16 router syslog: iptables -D INPUT -i ppp_8_32_1 -p tcp --dport 23 -j DROP Feb 19 11:41:51 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --dport 53 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --sport 161 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --sport 520 Feb 19 11:41:52 router syslog: iptables -t mangle -A OUTPUT -j MARK --set-mark 3 -p udp --dport 67:68
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFD+REgtTMYHG2NR9URAnG6AJwMcIhzjc+MVlea61bs17AYTacZWACeKA/U IfXojph9+HiKrxImcmwkbjM= =RgoO -----END PGP SIGNATURE-----
Esa es la fuente del problema, que le has "dado la vuelta" al cortafuegos. El spoofing es intentar meter por el interfaz externo de un cortafuegos paquetes con IP origen del rango interno ... el cortefuegos te las rechazaba de forma correcta.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-20 a las 08:18 +0100, Luis O. escribió:
Esa es la fuente del problema, que le has "dado la vuelta" al cortafuegos. El spoofing es intentar meter por el interfaz externo de un cortafuegos paquetes con IP origen del rango interno ... el cortefuegos te las rechazaba de forma correcta.
¿Mande? Si yo cambio la configuración del cortafuegos y lo reinicio, y la interfaz que era eth0 sigue siendo eth0, ¿que rayos importa eso? :-? Más aún cuando funciona perfectamente después de rebotar, sin cambiar nada en absoluto... - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+YCRtTMYHG2NR9URApptAJwNpuoQS8ZuW8s9BZTOUUBvTrUHyACfemlN w+YsqQ0+Z8L5odPgerrshEE= =3wly -----END PGP SIGNATURE-----
Carlos E. R. escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-02-20 a las 08:18 +0100, Luis O. escribió:
Esa es la fuente del problema, que le has "dado la vuelta" al cortafuegos. El spoofing es intentar meter por el interfaz externo de un cortafuegos paquetes con IP origen del rango interno ... el cortefuegos te las rechazaba de forma correcta.
¿Mande? Si yo cambio la configuración del cortafuegos y lo reinicio, y la interfaz que era eth0 sigue siendo eth0, ¿que rayos importa eso? :-?
Más aún cuando funciona perfectamente después de rebotar, sin cambiar nada en absoluto...
- -- Saludos Carlos Robinson
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFD+YCRtTMYHG2NR9URApptAJwNpuoQS8ZuW8s9BZTOUUBvTrUHyACfemlN w+YsqQ0+Z8L5odPgerrshEE= =3wly -----END PGP SIGNATURE-----
Obviamente el equipo tenía "memoria" recordaba lo que "era" y actuaba en consecuencia. ¿por qué? no lo se. De hecho, ya no importa, lo solucionaste. Pero spoofing es eso que te comentaba.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-20 a las 10:48 +0100, Luis O. escribió:
Obviamente el equipo tenía "memoria" recordaba lo que "era" y actuaba en consecuencia. ¿por qué? no lo se. De hecho, ya no importa, lo solucionaste. Pero spoofing es eso que te comentaba.
Me cuadra más que sea lo que dijo Juan Carlos de las tablas arp, que relacionan la MAC con la IP. Puesto que yo había cambiado el número de la IP de la tarjeta, el cortafuegos decía que le estaba llegando una IP falsificada, que es lo que significa "spoof": - From Jargon File (4.2.0, 31 JAN 2000) [jargon]: spoof vi. To capture, alter, and retransmit a communication stream in a way that misleads the recipient. As used by hackers, refers especially to altering TCP/IP packet source addresses or other packet-header data in order to masquerade as a trusted machine. This term has become very widespread and is borderline techspeak. Lo gracioso es que la IP "falsa" era la suya propia: se estaba bloqueando a sí mismo. El otro ordenador, con SuSE 9.3, nunca dijo nada, luego es posible que ese error fuera corregido hace tiempo: al fin y al cabo, la 7.3 es antigua. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD+ZTOtTMYHG2NR9URAtdjAJ98E2kkR/cs7IHrobVvLNzk1T2RbQCfTa/6 EV/XqoOCxE/nPH5H8676TtA= =4Dy3 -----END PGP SIGNATURE-----
Carlos: Leéte estos enlaces; te aclarán mucho el tema (al menos a mi me lo ha hecho!) http://robota.net/article?id=592 http://robota.net/article?id=810 -- Salut, Jordi Espasa
participants (6)
-
Camaleón -
Carlos E. R. -
Jordi Espasa Clofent -
Juan Carlos Bravo Celis -
Luis O. -
Victor Hugo dos Santos