Re: непонятки с firewall и пакетами

To: debian-russian@lists.debian.org
Subject: Re: непонятки с firewall и пакетами
From: Eugene Berdnikov <bd4@protva.ru>
Date: Thu, 20 May 2010 00:08:41 +0400
Message-id: <20100519200841.GB5200@protva.ru>
In-reply-to: <AANLkTikMexGBXbL3VWQyhJ9xTqdLwTja6kWmn5tXS45S@mail.gmail.com>
References: <AANLkTikMexGBXbL3VWQyhJ9xTqdLwTja6kWmn5tXS45S@mail.gmail.com>

On Wed, May 19, 2010 at 05:02:45PM +0400, Sapytsky Ilya wrote:
> Поставили print server типа "бабалайка" и начался флуд вот такого рода:
> May 19 16:36:50 gamma kernel: IN= OUT=eth1 SRC=EXT.IP DST=192.168.3.85
> (print server) LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=20888 DF PROTO=TCP
> SPT=50473 DPT=2251 WINDOW=5840 RES=0x00 SYN URGP=0
> Если поставить логать input по 192.168.3.85 -  никого input нет!

 Какой нахрен input? Это ж исходящий пакет.

 И он либо вообще не доходит до 192.168.3.85 (потому что вылетает из
 внешнего интерфейса eth1 с внешним EXT.IP), либо 192.168.3.85 посылает
 ответ шлюзу, который его дропает. Так что в INPUT пусто.

> Такая фигня происходит примерно 2 пакета в 4-5 секунд...
> вооот... В firewall никаких forward или чего-то в этом роде нет, т.e. squid
> с basic_auth, postfix+amavis+clamav+popa3d+postgrey
> и ничего более...
> Как бы узнать кто и как генерирует такой пакет, чтобы разобраться почему

 --log-uid
 netstat -ntp | fgrep 192.168.3.85
 netstat -ntp | fgrep 192.168.3.85 | fgrep :2251

> вообще такое происходит, а так же разучить на "гадить" в логи...

 RTFM iptables.
-- 
 Eugene Berdnikov

Reply to:

References:
- непонятки с firewall и пакетами
  - From: Sapytsky Ilya <sova00@gmail.com>

Prev by Date: Re: lenny, ffox, flashgot, curl
Next by Date: Re: Особенности установки drupal6 в Debian Squeeze
Previous by thread: Re: непонятки с firewall и пакетами
Next by thread: Re: Особенности установки drupal6 в Debian Squeeze
Index(es):
- Date
- Thread