LINUX.ORG.RU
решено ФорумGeneral

Странные сообщения в логе iptables


0

0

ArchLinux, в инет лазию посредством pppoe. Заметил, что в iptables.log сыпятся сообщения подобного рода: 

Jan  1 22:37:14 localhozt kernel: IN=ppp0 OUT= MAC= SRC=83.99.208.137 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=247 ID=20704 DF PROTO=TCP SPT=55372 DPT=52116 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:15 localhozt kernel: IN=ppp0 OUT= MAC= SRC=95.26.45.55 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=119 ID=50425 DF PROTO=TCP SPT=1938 DPT=53377 WINDOW=16384 RES=0x00 SYN URGP=0 
Jan  1 22:37:19 localhozt kernel: IN=ppp0 OUT= MAC= SRC=94.50.179.106 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=244 ID=21725 DF PROTO=TCP SPT=56557 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0 
Jan  1 22:37:22 localhozt kernel: IN=ppp0 OUT= MAC= SRC=94.50.179.106 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=244 ID=21752 DF PROTO=TCP SPT=56557 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0 
Jan  1 22:37:23 localhozt kernel: IN=ppp0 OUT= MAC= SRC=188.134.5.62 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0xA0 TTL=53 ID=2389 DF PROTO=TCP SPT=50633 DPT=47092 WINDOW=5840 RES=0x00 SYN URGP=0 
Jan  1 22:37:24 localhozt kernel: IN=ppp0 OUT= MAC= SRC=77.232.15.211 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=118 ID=51049 DF PROTO=TCP SPT=7710 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:24 localhozt kernel: IN=ppp0 OUT= MAC= SRC=95.29.179.161 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0xA0 TTL=57 ID=14607 DF PROTO=TCP SPT=35534 DPT=53377 WINDOW=5680 RES=0x00 SYN URGP=0 
Jan  1 22:37:26 localhozt kernel: IN=ppp0 OUT= MAC= SRC=77.232.15.211 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=118 ID=51119 DF PROTO=TCP SPT=7710 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:28 localhozt kernel: IN=ppp0 OUT= MAC= SRC=94.50.179.106 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=244 ID=21769 DF PROTO=TCP SPT=56557 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0 
Jan  1 22:37:29 localhozt kernel: IN=ppp0 OUT= MAC= SRC=89.112.24.222 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=248 ID=58399 DF PROTO=TCP SPT=48831 DPT=49802 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:30 localhozt kernel: IN=ppp0 OUT= MAC= SRC=24.185.11.214 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=245 ID=22459 DF PROTO=TCP SPT=60244 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:32 localhozt kernel: IN=ppp0 OUT= MAC= SRC=82.147.82.40 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0xA0 TTL=245 ID=38839 DF PROTO=TCP SPT=57751 DPT=49802 WINDOW=5840 RES=0x00 SYN URGP=0 
Jan  1 22:37:32 localhozt kernel: IN=ppp0 OUT= MAC= SRC=77.232.15.211 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=118 ID=51328 DF PROTO=TCP SPT=7710 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan  1 22:37:35 localhozt kernel: IN=ppp0 OUT= MAC= SRC=82.147.82.40 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0xA0 TTL=245 ID=38840 DF PROTO=TCP SPT=57751 DPT=49802 WINDOW=5840 RES=0x00 SYN URGP=0 
Jan  1 22:37:41 localhozt kernel: IN=ppp0 OUT= MAC= SRC=82.147.82.40 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0xA0 TTL=245 ID=38841 DF PROTO=TCP SPT=57751 DPT=49802 WINDOW=5840 RES=0x00 SYN URGP=0 
Jan  1 22:37:50 localhozt kernel: IN=ppp0 OUT= MAC= SRC=188.122.225.204 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=123 ID=13303 DF PROTO=TCP SPT=4463 DPT=6881 WINDOW=16384 RES=0x00 SYN URGP=0 
Jan  1 22:37:53 localhozt kernel: IN=ppp0 OUT= MAC= SRC=188.122.225.204 DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0xA0 TTL=123 ID=14663 DF PROTO=TCP SPT=4463 DPT=6881 WINDOW=16384 RES=0x00 SYN URGP=0 
Jan  1 22:37:55 localhozt kernel: IN=ppp0 OUT= MAC= SRC=92.47.191.184 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0xA0 TTL=244 ID=25177 DF PROTO=TCP SPT=16402 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0
За пару дней лог намотал 11 мегабайт, не то что бы это сильно меня волновало, но непонятно, что это означает. Да и вывод dmesg засоряется.

★★★★★

Ответ на: комментарий от MikeDM

iptables -L -n | grep 'LOG'
что показывает ?

# iptables -L -n | grep 'LOG'
LOG        udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:0:1023 LOG flags 0 level 4 
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:0:1023 LOG flags 0 level 4 
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 LOG flags 0 level 4
ostin ★★★★★
() автор топика
Ответ на: комментарий от ostin

срабатывает либо второе либо третье по списку правило. точно можно будет узнать если к правилу добавить префиксы.

MikeDM ★★★★★
()

DST=xxx.xxx.xxx.xxx --- это ваш ip-адрес? Если так, то это обычный скан портов, боты, вирусы и прочее. Собственно, в чём ваш вопрос? Как отключить логирование этого или что ещё?

mky ★★★★★
()
Ответ на: комментарий от mky

Как отключить логирование этого или что ещё?

О скан портов, хм. Да, думаю логирование этого мне не особо нужно. Интересует как отключить.

ostin ★★★★★
() автор топика
Ответ на: комментарий от ostin

это не скан портов, это торренты, dht и прочие вещи... либо вы сами раздавали , либо кто-то до вас с того же IP адреса, по DHT могут сутками пытаться достучаться...

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

это не скан портов, это торренты, dht и прочие вещи

Хорошо, думаю ты права, торрентами пользуюсь постоянно (а кто нет), у меня белый статический ip адрес, смысла в этом логировании не вижу, как его отрубить?

ostin ★★★★★
() автор топика
Ответ на: комментарий от ostin

Так же как ты его и включил) А вообще лучше веди логи только тех пакетов , которые DENY

ssk85
()
Ответ на: комментарий от ostin

надо полагать правило в iptables у тебя забито соответствующее. Посмотри и выпили.

saturn721
()

Проблему решил, но iptables был к ней причастен косвенно. Начал копать что за правила у меня есть, для начала вообще сделал 

iptables -X
iptables -F
/etc/rc.d/iptables save
Но это не помогло! После перезагрузки логи по прежнему наполнялись бесполезной для меня информацией. Я предположил, что какой-то стартовый сценарий добавляет правила iptables. Посмотрев на rc.conf единственный, кто подходил был стартовый скрипт adsl. Забавно, но в файле конфигурации pppoe.conf есть строка:

# Firewalling: One of NONE, STANDALONE or MASQUERADE
FIREWALL=STANDALONE

Так вот, если ее поменять на NONE, то вы окажеться с голой жопой в интернете все чудесным образом перестанет записываться в лог. Спасибо большое всем за комментарии.

ostin ★★★★★
() автор топика

Торренты это, торренты. У меня такая же хня, когда логгирование «ффсего» включаю. Ну, собсна, и без меня разобрались.

nbw ★★★
()

Есть локалка прова адреса вида 172.y.x.x, та вот с одного из адресов локалки лезут на 21 и 80 порт с 3914, 3915 и 3918

Примерно так

SRC=чейто_адрес DST=мой_адрес LEN=48 TTL=128 PROTO=TCP SPT=3915 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
SRC=чейто_адрес DST=мой_адрес LEN=48 TTL=128 PROTO=TCP SPT=3514 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0

Что это такое?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General