LINUX.ORG.RU
ФорумAdmin

Mac адрес в логе itpables

 , , , ,


0

1

Здравствуйте. Возникла такая проблема: идет атака на мой 1c сервер через мой же шлюз. Настроил логи iptables и вижу повторяющуюся строку:

Iptables: hashlimit: IN=eth0 OUT= MAC=94:de:80:a1:98:d5:00:15:63:51:28:41:08:00 SRC=141.98.81.122 DST=<Внешний ip> LEN=52 TOS=0x02 PREC=0x00 TTL=119 ID=14468 DF PROTO=TCP SPT=52000 DPT=6575 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0

Хочу заблокировать подключение с этого mac-адреса. Не могу понять, почему mac такой странный. Подскажите, пожалуйста, как преобразовать его в нормальный вид и добавить в правило блок



Последнее исправление: DocX (всего исправлений: 1)

Если есть MAC, значит источник в твоём сегменте. А длинный он потому, что там два MAC и число :08:00. Ч

sr11
()
Ответ на: комментарий от sr11

А как его тогда отфильтровать? и что значит в моем сегменте?

DocX
() автор топика
Ответ на: комментарий от sr11

Не обязательно, если у него есть маршрутизируемый сегмент, то это может быть МАК адресом шлюза (роутера).

Всё зависит от IP адреса источника.

infomeh ★★
()
Последнее исправление: infomeh (всего исправлений: 1)
Ответ на: комментарий от DocX

Может это с разных адресов и идёт, МАК это скорее всего шлюз, как уже сказали. Проверь 00:15:63:51:28:41 это скорее всего твой шлюз, и что ты по МАК хочешь отфильтровать в таком случае.

sr11
()
Ответ на: комментарий от DocX

Никакая часть не его. 94:de:80:a1:98:d5: это ты, 00:15:63:51:28:41: это узел с которого пакет пришёл, маршрутизатор или хз. 08:00 это что-то из Ethernet протокола.

sr11
()
Ответ на: комментарий от DocX

и что значит в моем сегменте?

Ты работаешь уже, или ещё учишься?

мне этого достаточно. спасибо за ответ. забаню узел и посмотрю что произойдет

Вероятно кончится Интернет. :-)

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin