Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Не понятные подключения
На страницу 1, 2  След.
 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Сеть
 
Автор Сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Вс Dec 26, 2010 5:29 am    Заголовок сообщения: Не понятные подключения
Ответить с цитатой

Настроил вчера на своем шлюзе iptables. Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"
И второй день уже наблюдается такое:
Dec 26 08:23:46 server kernel: [ 4160.094894] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=94.194.155.162 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=112 ID=7915 PROTO=UDP SPT=53095 DPT=3128 LEN=111
Dec 26 08:23:46 server kernel: [ 4160.250336] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=116.3.105.147 DST=[мой ip] LEN=126 TOS=0x00 PREC=0x00 TTL=108 ID=17676 PROTO=UDP SPT=4041 DPT=12135 LEN=106
Dec 26 08:23:48 server kernel: [ 4162.292479] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=180.231.10.59 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=101 ID=11212 PROTO=UDP SPT=51756 DPT=3128 LEN=111
Dec 26 08:23:52 server kernel: [ 4166.360983] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=116.3.105.147 DST=[мой ip] LEN=126 TOS=0x00 PREC=0x00 TTL=108 ID=18307 PROTO=UDP SPT=4041 DPT=12135 LEN=106
Dec 26 08:23:56 server kernel: [ 4170.481270] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=188.55.34.5 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=109 ID=23628 PROTO=UDP SPT=31071 DPT=3128 LEN=111
Dec 26 08:24:02 server kernel: [ 4176.537982] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=202.99.223.3 DST=[мой ip] LEN=129 TOS=0x00 PREC=0x00 TTL=107 ID=8956 PROTO=UDP SPT=24219 DPT=12135 LEN=109
Как это можно объяснить? Подсеть провайдера попала в список ботнета?
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Anton99

Neo


Зарегистрирован: 26.11.2006
Сообщения: 1676

СообщениеДобавлено: Вс Dec 26, 2010 9:50 am    Заголовок сообщения:
Ответить с цитатой

Почему тебя это волнует?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Вс Dec 26, 2010 11:21 am    Заголовок сообщения:
Ответить с цитатой

1) Таким "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"" правилом мы не исключили пакеты несанкционированного соединения, а всего лишь стали их фиксировать. Для блокирования этих пакетов нужно добавить такое правило "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j DROP"

2) Обьясниться это желанием кого-то "цепануться" (т.к. UDP протокол) то на 12135, то на 3128 порт. Ни один из них не лежит в диапазоне привилегированных портов.

Возможно это от того что на вашей машине запущена торрент-качалка, выключите её и понаблюдайте за логами.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Вс Dec 26, 2010 7:44 pm    Заголовок сообщения:
Ответить с цитатой

Цитата:
Таким "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"" правилом мы не исключили пакеты несанкционированного соединения, а всего лишь стали их фиксировать. Для блокирования этих пакетов нужно добавить такое правило "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j DROP"

именно исключил с последующей записью в логи
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вс Dec 26, 2010 8:16 pm    Заголовок сообщения:
Ответить с цитатой

Цитата:

именно исключил с последующей записью в логи

Запись в логи вижу, а вот DROP не вижу
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Пн Dec 27, 2010 1:50 pm    Заголовок сообщения:
Ответить с цитатой

При действии LOG пакеты не принимаются.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Dec 27, 2010 4:03 pm    Заголовок сообщения:
Ответить с цитатой

Madfisht3, это не показатель. Нужно смотреть все правила файрволла "iptables-save". Если у тебя дефолтное правло "ACCEPT - пропустить", то эти пакеты пройдут.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Dec 27, 2010 4:03 pm    Заголовок сообщения:
Ответить с цитатой

NGINX за*бал уже!!! Что так тупит?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Пн Dec 27, 2010 4:05 pm    Заголовок сообщения:
Ответить с цитатой

Надо смотреть iptables -S:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
Из этого должно быть понятно, что не идет трафик....
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Пн Dec 27, 2010 4:06 pm    Заголовок сообщения:
Ответить с цитатой

Трафик через цепочку FORWARD двигается с позволения некоих правил.... так же и входящий трафик через интерфейс ppp0. Теперь понятна картина?
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Dec 27, 2010 4:22 pm    Заголовок сообщения:
Ответить с цитатой

Madfisht3, понятна. торренты качаешь?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Пн Dec 27, 2010 5:58 pm    Заголовок сообщения:
Ответить с цитатой

Нет. Это же шлюз, к нему пакетов "NEW" вообще по сути не должно приходить, он работает только с соединениями которые сам устанавливает... А клиентский трафик через FORWARD идёт... Вот мне и интересно что это за попытки подключений такие... и так много в добавок.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Dec 27, 2010 6:27 pm    Заголовок сообщения:
Ответить с цитатой

Madfisht3, учитывай что они сыпятся по УДП-протоколу. Т.е. вероятности того что это атака невелика, тем более что сам сервер дропит эти пакеты!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Madfisht3

Участник тусовки


Зарегистрирован: 12.02.2010
Сообщения: 101
Откуда: Russia

СообщениеДобавлено: Пн Dec 27, 2010 6:39 pm    Заголовок сообщения:
Ответить с цитатой

А если так? :
Dec 27 21:33:38 server kernel: [103799.124238] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=51687 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:41 server kernel: [103802.191066] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=51958 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:42 server kernel: [103802.834922] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=188.115.144.187 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=4291 DF PROTO=TCP SPT=52813 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 27 21:33:47 server kernel: [103808.178640] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=52430 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:47 server kernel: [103808.222004] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=91.196.62.207 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4347 DF PROTO=TCP SPT=50201 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 27 21:33:55 server kernel: [103815.903994] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=95.71.126.85 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=17341 PROTO=TCP SPT=49994 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Вт Dec 28, 2010 3:11 am    Заголовок сообщения:
Ответить с цитатой

Madfisht3, шальные какие-то пакеты ! Very Happy

Есть такая вещь как привилегированные порты (вы должны знать о них Wink ). Данные пакеты не идут на эти порты - пониковать нечего!

Покажи все правила!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Сеть Часовой пояс: GMT
На страницу 1, 2  След.
Страница 1 из 2
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис