Recentemente ho parlato con il mio ISP di molte cose, fondamentalmente legate alla mia (poca) sicurezza aziendale, questo ragazzo è un guru del networking per me, ma ha fatto una cosa strana che mi preoccupa. Fondamentalmente ho una macchina di sviluppo web che si trova nella mia LAN, che non ha port forwarding (non è raggiungibile da internet), ma poteva accedere a un server web su di essa dall'esterno dell'interfaccia WAN del router in qualche modo e non voleva dirmi come ha fatto esso. Dice solo che è normale per lui, essendo il mio fornitore, essere in grado di eseguire il port scanning e accedere ai servizi del mio computer (wtf?!?). Ha anche detto che dovrebbe esserci qualche regola da aggiungere alla mia tabella di routing che dovrebbe impedirlo, ma lui "non ricorda" il suo contenuto. Ovviamente al ragazzo piace curiosare negli affari degli altri, e mentre siamo una specie di amici, non mi piace VERAMENTE.
Ho un vecchio router Linux in una scatola, basato su iptables 1.2-qualcosa, e qui ci sono i suoi script (ho eliminato ogni port forwarding e ho rifiutato le regole per brevità). Questi erano quelli standard.
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- anywhere anywhere tcp
Chain FORWARD (policy DROP)
num target prot opt source destination
1 TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
//here follows a bunch of port forwarding rules and DENY rules I set,
//and line 60 looks kind of out of place, given line 61
60 ACCEPT all -- anywhere anywhere
61 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Quindi la domanda è triplice:
- in che modo un ISP avrebbe potuto accedere alla porta 80 sulla mia macchina senza che l'avessi inoltrata sul router?
- Come posso impedire a lui o a chiunque altro in quella rete di farlo
- per favore spiega perché c'è la riga 60 e dopo c'è la riga 61, perché da quello che ho capito, se qualcosa è permesso alla riga 60 allora i pacchetti sarebbero già autorizzati a passare senza nemmeno raggiungere la linea 61
Modifica
Questa è la mia configurazione, penso che sia piuttosto standard:
ISP network -> their WiFi bridge -> Our router -> Our Network (with my DEV machine)
L'ISP dovrebbe essere in grado di effettuare il porting sul nostro router. Tutto quello che mi hanno dato era una spina per il loro bridge WiFi che è sul nostro tetto e un IP, il router è stato acquistato separatamente.