Заметил недавно странный трафик в локальной сети...
На локальной тачке (192.168.1.17) делаю такое:
local-pc# tcpdump -pni eth0 'src 192.168.1.17 and dst 192.168.1.17'
16:28:18.447812 IP 192.168.1.17.44218 > 192.168.1.17.6881: S 1996540432:1996540432(0) win 5840 <mss 1460,sackOK,timestamp 62321063 0,nop,wscale 7>
16:28:19.994636 IP 192.168.1.17.44239 > 192.168.1.17.6881: S 2018044569:2018044569(0) win 5840 <mss 1460,sackOK,timestamp 62321450 0,nop,wscale 7>
....
Смотрю что такое порт 6881:
local-pc# netstat -nlp|grep :6881
tcp 0 0 0.0.0.0:6881 0.0.0.0:* LISTEN 5390/ktorrent
udp 1840 0 0.0.0.0:6881 0.0.0.0:* 5390/ktorrent
Тоже самое показывает аналогичный tcpdump и на шлюзе. Решил выяснить откуда берутся такие пакеты: приходят снаружи или создаются самой локальной тачилой. Добавляю на ней iptables-правила:
local-pc# iptables -I INPUT -s 192.168.1.17 -d 192.168.1.17 -i eth0 -j LOG --log-prefix "iptables INPUT: "
local-pc# iptables -I OUTPUT -s 192.168.1.17 -d 192.168.1.17 -o eth0 -j LOG --log-prefix "iptables OUTPUT: "
В итоге tcpdump на тачиле периодически показывает такие пакеты (прошу заметить - параметр "-p" не переводит карточку в promisc mode), а счётчики iptables равны нулю и в логах тишина....
ktorrent запущен от обычного user-а, не от root-а.
Может кто-нибудь объяснить как такое может быть ??? Как может не root-овая программа генерить трафик от себя себе же, при чем говорить ядру маршрутизировать его сразу на шлюз (!!!), а не по указанным маршрутам ???
Почему он выходя из тачилы не проходит по правилам iptables ?
P.S. Если выключить в ktorrent закачки/раздачи трафик прекращается.