PDA

Bekijk de volledige versie : Firewall - вопрос от не линуксоида...



VadimVB
29-11-2006, 19:24
Прошивка Олеговская,

Вродебы всё перекрыто но непонятные вещи

Вот что я получаю снаружи - (сислог демон стоит на машине внутри внутренней сети)



2006-11-29 21:11:39 User.Warning gw500.lan.local kernel: DROP IN=vlan1 OUT= MAC=00:20:ed:1f:c7:04:00:13:11:19:62:65:08:00:45:0 0:00:3c SRC=10.254.35.11 DST=10.254.33.54 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=9046 PROTO=ICMP TYPE=8 CODE=0 ID=256 SEQ=43091


И получаю в логе

вот такую вещь



2006-11-29 21:11:43 User.Warning gw500.lan.local kernel: DROP IN=br0 OUT=vlan1 SRC=vadim-home.lan.local DST=10.254.35.11 LEN=78 TOS=0x00 PREC=0x00 TTL=127 ID=45323 PROTO=UDP SPT=137 DPT=137 LEN=58



У меня нааружу тоже закрыто всё - ив dnsmasq стоит bogus_nopriv если не ошибаюсь в написании - чтоб на приватные адреса отдавал при revers lookup - > NX_DOMAIN но тут виндуоз получая NX_DOMAIN пытается резолвить имя по нетбиосу.... А значит пакет то до неё доходит!!!! Как????

Oleg
29-11-2006, 20:12
Src=10.254.35.11 Dst=10.254.33.54

Кто-то Вы, а кто-то другая машина? Вы к ней (её дискам) обращались?

VadimVB
07-12-2006, 00:40
Src=10.254.35.11 Dst=10.254.33.54

Кто-то Вы, а кто-то другая машина? Вы к ней (её дискам) обращались?

Всё, уже разобрался - сам дурак называется.

Всё очень просто - у меня на виндовой машине стоит Kiwi Syslog демон , который получает логи от Делюкса. Ну когда снаружи атакуют (у нас тут эпидемия) естесвенно в лог попадает строка с адресом атакующего. А я зачемто, когдато включил в настройках Kiwi Syslogd чтоб он адреса которые находит в строках которые пишет в лог резолвил в имена. Ну вот и получалось что он пытался резолвить адрес атакующего, и так как адреса приватные а у меня в натсройках dnsmasq на Делюксе стоит bogus_nopriv то после получения NX_DOMAIN Киви Силог пытался резолвить адрес через Нетбиос по 137 порту - а оно у меня наружу естесвенно закрыто.

В результате он (Kiwi) опять получал строку что Дропнуто :-)
Вобщем вот такой loop back :-) Ну и я думал что дыра в файрволе потому как пакет от атакующего дропнут роутером но Виндуза ( по нетбиосу же) его както получает раз пытается резолвить адрес атакующего......