Re: непонятки с firewall и пакетами
On Wed, May 19, 2010 at 05:02:45PM +0400, Sapytsky Ilya wrote:
> Поставили print server типа "бабалайка" и начался флуд вот такого рода:
> May 19 16:36:50 gamma kernel: IN= OUT=eth1 SRC=EXT.IP DST=192.168.3.85
> (print server) LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=20888 DF PROTO=TCP
> SPT=50473 DPT=2251 WINDOW=5840 RES=0x00 SYN URGP=0
> Если поставить логать input по 192.168.3.85 - никого input нет!
Какой нахрен input? Это ж исходящий пакет.
И он либо вообще не доходит до 192.168.3.85 (потому что вылетает из
внешнего интерфейса eth1 с внешним EXT.IP), либо 192.168.3.85 посылает
ответ шлюзу, который его дропает. Так что в INPUT пусто.
> Такая фигня происходит примерно 2 пакета в 4-5 секунд...
> вооот... В firewall никаких forward или чего-то в этом роде нет, т.e. squid
> с basic_auth, postfix+amavis+clamav+popa3d+postgrey
> и ничего более...
> Как бы узнать кто и как генерирует такой пакет, чтобы разобраться почему
--log-uid
netstat -ntp | fgrep 192.168.3.85
netstat -ntp | fgrep 192.168.3.85 | fgrep :2251
> вообще такое происходит, а так же разучить на "гадить" в логи...
RTFM iptables.
--
Eugene Berdnikov
Reply to: