From
|
marc0 <marc0@autistici.org>
|
Date
|
Fri, 07 Nov 2003 20:07:59 +0100
|
Subject
|
Re: [hackmeeting] networking, (winmx, netbios, telnet) (LUNGA)
|
zeist on Fri, 7 Nov 2003 18:21:48 +0100 (CET) writes:
> Prima cosa: quando usi tcpdump usa l'opzione -n altrimenti aggiungi al
> traffico altro rumore dovuto al tentativo di risoluzione di tcpdump.
ok grazie.
> Rileggi il log che hai mandato relativo al traffico sulla "porta
> 3017"..... hai visto la porta remota quale'? hai visto che host e' che
> cozza contro la tua 3017?
> Ehm......... Leggi sto' cazzo di DUMP: un DNS di telecom, che e'
> ns4.tin.it (212.216.112.112), risponde a una tua query DNS (la porta
> origine e' la domain) ad una tua porta alta (3017) dicendoti che l'host
> c3319.z1303.winmx.com ha come IP 64.246.15.43.
> Il secondo pasaggio sei tu che lo sfanculi con un ICMP port unreachable.
ok grazie questo spiega cosa c'entra la telecom.
comunque, io non vedo come possa essere partita la query dal mio host,
sia perche' non la vedo nel dump, sia perche' assolutamente non stava
girando niente che potesse contattare *.winmx.com (i programmi che
girano sul mio computer, almeno quello, lo so', e ci sono solo io
loggato).
puo' essere stato il "tentativo di risoluzione di tcpdump"? pero' io
non vedo nessuna richiesta da quell'ip nel dump.
> giusto per la cronaca, ma portmapper, MTA e compagnia bella ti servono
> davvero? secondo me no, impostare cmq un minimo firewall?
il MTA (exim) mi serve, e non accetta mail in relay, quindi IMHO non
crea problemi.
per il resto uso cfs, che dipende da nfs, che dipende dal portmapper.
nessun firewall. se ricordo bene tolto supporto ip filtering dal
kernel.
per quanto riguarda il firewall, se i programmi che girano sono
scritti/configurati adeguatamente, IMVHO non e' che sia necessario. e'
piu' questione di "religione" che altro: l'MTA non e' una shell aperta
sul mondo, cosi' come gli altri programmi, ha i suoi sistemi di
sicurezza, non mi piace mettere due serrature ad una porta (paragone
sfigato in questo discorso - parlo di porte materiali), ne basta una
che funzioni, se non funziona e' da cambiare, non da mettere altra
complessita' in mezzo.
inoltre non mi piace tutto cio' che avviene in kernel-space,
preferisco far girare meno codice possibile in kernel space,
preferisco quando possibile non avere a che fare con il kernel.
ora, prima di generare sconforto, faccio presente che sono un utente
"casalingo", non un sysadmin con NN anni di esperienza, l'unico
sistema che io decido come rendere sicuro e' il _mio_ computer, quindi
per ora posso avere le mie perversioni.
> Altra cosa, un portmap eseguito in locale in linea squisitamente teorica
> non e' affidabile,
ok grazie.
> inoltre se non specifichi diversamente vengono scannate solo le
> porte tcp da 1 a 1024.
ok grazie, comunque il risultato e' lo stesso.
> Morale della favola, il casino lo stai facendi tutto tu da quel poco che
> risco a capire, in qualche maniera stai filtrando i dns di telecom, che
> entry hai nel resolv.conf? che regole di firewalling hai? (se ne hai).
no firewall.
--- resolv.conf ---
nameserver 62.211.69.150
nameserver 212.48.4.15
--- end of resolv.conf ---
potrebbe essere che la richiesta non e' partita da me?
comunque e' un problema che si e' presentato solo oggi, ed ora (dopo
diverse riconnessioni) sembra finito.
io inizialmente avevo pensato che la telecom o qualcun'altro cercasse
qualcosa (file-sharing!), forse mi sono sbagliato.
grazie ancora.
--
marc0@autistici.org - 0x4E8899C2
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting