<Message original de Mourad Jaber en date du mardi 23 septembre 2003 à 15:12>
re,
C'est surtout de l'udp :
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=13246 PROTO=UDP
SPT=64101 DPT=51946 LEN=8
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=19588 PROTO=UDP
SPT=64102 DPT=24723 LEN=8
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=56625 PROTO=UDP
SPT=64105 DPT=43955 LEN=8
beaucoup moins de tcp :
Sep 23 14:30:41 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=80.11.215.112
DST=81.56.81.22 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=53090 DF PROTO=TCP
SPT=4662 DPT=2546 WINDOW=16968 RES=0x00 ACK SYN URGP=0
Sep 23 14:49:56 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=81.50.158.89
DST=81.56.81.22 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=48703 PROTO=TCP
SPT=4662 DPT=1631 WINDOW=0 RES=0x00 ACK RST URGP=0
Tout ca semble provenir des logiciels peer-to-peer. Le 4662 en tcp etant un
des ports d'établissement de connexion. Je suppose que les lignes transmises
via udp proviennent de transfert de fichiers.
Est-ce que ce sont des packets invalides ( le OUT ne semble pas populé )?
Comme avant, mes regles de log ne fonctionnaient pas je les avais
peut-être déjà.... Parce que c'est impressionnant d'avoir soudain 5Mo
de syslog à l'heure pour un accés adsl perso !
Si tu fais du P2P, ne log pas tout les paquets... Tu vas rapidement atteindre
des volumes tres important.
Merci
De rien, j'espere que c'est l'explication.