Saudações.
Mais uma vez pesquisei bastante, e não só neste forum, antes de postar.
Algo no Firestarter tem me deixado curioso. Mais curioso que até preocupado, eu acho.
Pois, bem, como diz o tópico, o Firestarter insiste em apresentar eventos tidos como "sérios" (em vermelho)... e eu não sei mais o que fazer.
Quero deixar claro que uso o meu computador para uso pessoal, cliente de redes apenas, mas deixo, em nível de testes para conhecimento próprio e possíveis aplicações futuras, alguns serviços de rede, como ssh e samba, por exemplo.
Configurei tudo corretamente, mais ou menos como manda no ends.:
http://www.gdhpress.com.br/redes/leia/index.php?p=cap5-12 , exceto pela filtragem de ICMP, que eu não tinha habilitado.
-----------------------------------------------------------------------------------------------------------------------------------
O serviço que, pelo que li, é referente ao samba (DCOM-SCM), incomodou muito pela porta 135, sendo que o firewall registrava isso como "sério", mesmo depois de eu bloquear (em Políticas > Tráfego de saída) o serviço DCOM-SCM na porta 135. Entretanto, parece que diminuíram as ocorrências (em vermelho) para esses eventos após eu habilitar a opção de filtragem dos pacotes ICMP.
Acontece que, depois disso, outros eventos "sérios" tem aparecido, mas referentes ao protocolo ICMP.
Algo tem em comum em praticamente 99% dessas ocorrências que citei, tanto com relação ao DCOM-SCM quanto ao ICMP: as duas primeiras sequências do IP tido como bloqueado (afinal, é bloqueado, não?) são sempre os mesmos do meu próprio IP.
OBS.: Eu utulizo a conexão 3G da Claro pelo modem MD300 da Sony Ericsson e, quando dou um whois em qualquer um desses IP's mostrados, retorna algo como isso:
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries
% Brazilian resource: whois.registro.br
% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2009-08-19 16:18:51 (BRT -03:00)
inetnum: 189.92/14
aut-num: AS22085
abuse-c: CLV199
owner: Claro S/A
ownerid: 040.432.544/0001-47
responsible: BCP SA
country: BR
owner-c: CLV199
tech-c: CLV199
inetrev: 189.93/16
nserver: ns01.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns02.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns03.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns04.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
created: 20080215
changed: 20080930
nic-hdl-br: CLV199
person: CLaro - Voz/Dados
e-mail: ContatoRegistro@claro.com.br
created: 20060321
changed: 20080714
% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.
Então... como faço para corrigir essa situação. A negação de serviço pela aba "Política" (estou com a opção "aplicar política imediatamente) em "Política de Trafego de Saída" parece NÃO funcionar!
No que puderem ajudar, fico grato!
Quero entender!!
Valeu
Leandro