Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Interpretacja wpisów w syslog

https://www.debian.pl/viewtopic.php?t=19740

Strona 1 z 2

Interpretacja wpisów w syslog

: 05 sierpnia 2010, 09:27
autor: ner83
Na początek witam wszystkich użytkowników forum :)
Mam problem z ustaleniem z jakiego źródła pochodzą wpisy w z iptables w syslog-u. Chodzi mianowicie o:

Kod: Zaznacz cały

ip tables denied: IN=eth1 OUT= MAC=[I]XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX[/I] SRC=0.0.0.0 DST 255.255.255.255 LEN=576 TOS=0x00 PREC 0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556
gdzie XX to adres MAC.
Co może "dobijać się" z do zapory(wpisy są co mniej więcej 6 sek.). Czy może to być modem ADSL? W jaki sposób mogę skonfigurować iptables lub wyłączyć logowanie tego typu zdarzeń?

pozdrawiam

: 05 sierpnia 2010, 10:27
autor: markossx
Jakiś host próbuje dobić się do bootps. Musisz ustalić gdzie włączony jest ten protokół. Modem... moim zdaniem raczej nie. Masz MAC - daj z tego MACa 3 pierwsze hexy to może się coś ustali.
W jaki sposób mogę skonfigurować iptables lub wyłączyć logowanie tego typu zdarzeń?
Wywalając regułkę, która za to odpowiada? :D

: 05 sierpnia 2010, 11:00
autor: ner83
Trzy pierwsze hexy to ff:ff:ff

: 05 sierpnia 2010, 11:21
autor: markossx
Te z FF to broadcast.
XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
To podaj jeszcze te co są na czerwono.

: 05 sierpnia 2010, 11:29
autor: ner83
ff:ff:ff:ff:ff:ff:00:21:9b:d3

: 05 sierpnia 2010, 12:29
autor: markossx
Nie mam pewności ale może to być host od Dell'a lub mieć sieciówkę Dell'a. Jeśli eth1 jest w LAN to szukaj boxa dellowego i wyłącz mu bootps. Jak WAN to dziwne :D
Ewentualnie z DMZ jeszcze może wchodzić jak takową masz.

: 06 sierpnia 2010, 12:56
autor: ner83
eth1 jest interfejsem do WAN poprzez ppp0. Wyłączyłem DHCP na serwerze ale to nic nie pomogło. Odłączyłem wszystkie hosty od serwera i dalej to samo. Co najciekawsze okazuje się, że w tych wpisach są różne adresy MAC.

: 06 sierpnia 2010, 13:18
autor: Bastian
Skoro wyświetlane są adresy MAC to raczej nic z poza LAN-u to być nie może. Skoro jednak odłączyłeś wszystkie hosty, to sugerowałbym sprawdzenie czy nie masz jakiegoś robala w systemie, bo to on może generować fałszywe logi.

: 06 sierpnia 2010, 13:45
autor: ner83
Mam połączenie PPPoE, więc myślę, że istnieje możliwość aby MAC-i były widoczne. Chyba, że się mylę? Wyskrobałem maila do operatora. Zobaczymy co on na to.

: 06 sierpnia 2010, 14:16
autor: markossx
Co do MAC-ów od strony WAN. Zawsze będzie MAC ostatniego routera przez, który przeszedł pakiet.
Jest trochę info na angielskich forach w tym temacie jednak nic konkretnego nie wyczytałem. Zalecają zablokowanie tego protokołu,wyłączenie logowania tych zdarzeń.
I usually ignore and drop without log. Much easier on the eyes :)
Daj znać co na to Twój ISP.
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl