LINUX.ORG.RU
ФорумAdmin

Как определить процесс, передающий данные через udp порт


0

1

День добрый. Конфигурю фаерволл для универа, изучаю в каких цепочках какой трафик гуляет..
Система - ubuntu server 10.04, ядро самособранное 2.6.39, iptables 1.4.11.1, Установлен Squid 3.1.9, работающий через TPROXY.
Обнаружил, что сейчас идет какая-то передача по udp протоколу на мой порт 35691. Подскажите пожалуйста, как определитЬ, чье это соединение? netstat -na, lsof -i -n молчат..

Вот tcpdump: http://paste.org/pastebin/view/35182


Разные хосты стучатся на этот порт и получают reset, поскольку у тебя политика на INPUT ACCEPT и не висит никакой процесс, слушающий этот порт.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Эм.. но дело в том, что этот порт отвечает! Ладно бы, если пакеты ли бы только к нему. Но идут и от него.. При этом длина большинства пакетов 0. Тоже очень странно.
Ни lsof, ни fuser и все другие тулзы не дают мне инфы.. Ощущение, как будто это порт, который натится.. Да, SNAT у меня есть, как раз на этот адрес 83.234.195.20, но в таблице conntrack по этому порту ничего подробного нет.. http://goo.gl/DKXjo - инфа conntrack

PATRI0T
() автор топика
Ответ на: комментарий от PATRI0T

Предлагая смоделировать ситуацию: что будет, если попробовать подключиться netcat'ом на 4444 порт.

nc <83.234.195.20> 4444

запусти tcpdump и посмотри, в ответ получишь пакет с флагом reset, что мы и наблюдаем.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Сдедал...

15:54:26.513484 IP 192.168.200.3.38735 > 83.234.195.20.44444: Flags [S], seq 49582372, win 5840, options [mss 1460,sackOK,TS val 739622140 ecr 0,nop,wscale 7], length 0
15:54:26.513599 IP 83.234.195.20.44444 > 192.168.200.3.38735: Flags [R.], seq 0, ack 49582373, win 0, length 0
Поясни пожалуйста, что я вижу :)И что мне делать дальше

PATRI0T
() автор топика
Ответ на: комментарий от PATRI0T

Я же написал, что у тебя политика INPUT ACCEPT, то есть «всё, что не запрещено, то разрешено». Поэтому любой хост коннектится куда хочет, в данном случае на порт 35691 и получает, естественно, RESET, ведь там то никто то и ничего не слушает, правда? Почитай про TCP и 3-way hanshake.

ss -l sport = :33691
ss -l
ss -au
lsof -i4tcp
lsof -i4udp

А сейчас нужно настроить iptables, правильно? И, кстати, почему у тебя 23 порт открыт?

Для этого надо ответить на один простой вопрос: какие ресурсы(сервисы/демоны) будет предоставлять данный сервер?

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Это виртуальная машина, в нем отлаживается будущий прокси сервер-фаервол-шейпер трафика. Telnet - для того, чтобы, пока играюсь с фаерволом самому себе ничего не отрезать. Плюс к этому можно зайти на него с любой винды, где нет ssh клиента.
Из сервисов здесь будет прокси сервер (squid, tproxy),веб сервер, ssh. Может быть что-то еще, но пока не планируется.
В связи с TPROXY дела в цепочках INPUT и OUTPUT усложняются - теперь же здесь пакеты, завернутые на сквид..
Поэтому как сделать чтоб было и безопасно, и работало, сейчас думаю. Возможно, идентифицировать сквидовые пакеты можно через -m socket.. Должно сработать, сейчас буду пробовать.

PATRI0T
() автор топика
Ответ на: комментарий от PATRI0T

Ну для начала настрой по стандартной схеме для INPUT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i <внешний интерфейс> -j ACCEPT
здесь твой дополнения....
iptables -P INPUT DROP

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Ок. это сделал. Спасибо за tcp, c тройным рукопожатием разобрался. И все-таки, почему же тогда столько соединений на этот порт от совершенно разных адресов? Кто и зачем щимится...

Подскажи еще.. Я в PREROUTING помещаю

iptables -A PREROUTING -t mangle -m state --state RELATED,ESTABLISHED -j ACCEPT
- чтобы пакеты, которые являются ответами пропускались сразу и не мешались при маркировании других, плюс еще и пакеты, которые идут на наш хост тоже попадают под это правило. Это не правильно? Потому что в других примерах я тоже видел, что эти правила помещаются в INPUT, OUTPUT и POSTROUTING.

PATRI0T
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.