lunes, 7 de noviembre de 2011

Ejercicios de iptables 4.- Marcado de paquetes, bits, logs,...

4- Otras pruebas con más detalle:
a.- Rechazar el tráfico hacia el puerto 25, en la interfaz eth1, siempre que los paquetes vengan marcados con las opciones SYN y ACK del protocolo tcp, a la vez.

Para comprobar las diferencias, en primer lugar pongo a escuchar netcat en el puerto 25:
netcat -l -p 25


Para comprobar cuál sería la respuesta normal a un paquete normal con el syn y el ack activos genero uno con hping:
hping -c 1 -S -A -p 25 192.168.56.101



como vemos nos responde con un flag R (reset) indicando que el sistema está activo, los sistemas BSD, por defecto ignoran este tipo de paquetes.

Insertamos ahora la regla para ignorar TODOS los paquetes de entrada marcados con los bits SYN y ACK destinados al puerto 25:
iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,ACK SYN,ACK --dport 25 -j DROP

y volvemos a realizar el hping:
hping3 -c 2 -S -A -p 25 192.168.56.101

y comprobamos en iptables cómo realmente ha rechazado estos paquetes:


Si lo que quisiéramos fuera descartar sólo los paquetes nuevos, es decir, evitar escaneos empleando estos bits o ser usados en ataques de predicción de secuencia numérica deberíamos emplear:
iptables -A INPUT -i eth1 -p tcp –tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP



 << Anterior                                                                                                                Siguiente >>