Desde el registro de mi iptables, puedo observar una dirección IP remota en particular que intenta conectarse a mi servidor desde el puerto 80 a un número de puerto privado:
Jul 09 01:24:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=16405 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:29:42 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=31270 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:32:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=43052 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:34:40 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=53328 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Esto ha estado ocurriendo durante un día y la conexión se realiza cada 5 minutos aproximadamente. Intenté acceder al sitio desde su dirección IP, pero dice restablecer la conexión. nslookup da una respuesta no autorizada:
Non-authoritative answer:
xyz.x.y.z.in-addr.arpa name = xyz.x.y.z.static.eigbox.net.
Parece que alguien podría estar falsificando la dirección IP de mi servidor, haciendo que esta computadora remota responda al enviar paquetes ACK SYN a mi servidor. Incluso registro la salida iptables en esta dirección IP para asegurarme de que mi servidor no responde a ella.
¿Es posible averiguar qué intenta hacer un usuario remoto al conectarse a un puerto cerrado sin comprometer la seguridad de mi servidor?