[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Alguien sabe algo de martians?

Gracias a todos por las respuestas. Respecto al mail de Cristoph me gustaría
replicar, jeje.

>> Desde hace algún tiempo me salen repetidamente estos mensajes en el
>> var/log/syslog y en la pantalla.
>
>>
>Mar 24 02:15:56 puck kernel: martian source X.X.X.181 from 127.0.0.1, on
dev eth0
>> Mar 24 02:15:56 puck kernel: ll header:
00:40:f4:74:47:cd:00:02:fc:85:30:70:08:00
>
>"martians" son paquetes de datos que vienen de un lugar desde donde no
>pueden venir. La interface local lookback (127.0.0.1) no emite ningun
>paquete con el IP x.x.x.181, sin embargo el kernel ha recebido un
>paquete que parece haber salido de 127.0.0.1 pero tiene como remitente
>una direción diferente. Como has tapado los dígitos con x.x.x supongo
>que conoces esta dirección, talvez es la de tu interface interna o
>externa. Esto huele a un problema de configuración. Algun NAT o
>redireccionamiento que en este caso particular no hace sentido al
>kernel.
pues yo creo al 99'99% que no es fallo mío ;) Aunque, como ves, dejo algo de
duda.
Básicamente porque sólo me sale desde hace poco tiempo, y llevo el
firewall-proxy funcionando más de dos años. El mensaje que me llega a syslog
es este:

Mar 24 02:15:56 puck kernel: martian source X.X.X.181 from 127.0.0.1, on dev
eth0
Mar 24 02:15:56 puck kernel: ll header:
00:40:f4:74:47:cd:00:02:fc:85:30:70:08:00
Donde X.X.X.181 es la dirección de mi interfaz eth0, una dirección que me
asigna mi ISP vía DHCP, pongo las X porque quiero discrección ;)¡
Los mensajes quieren decir que me llegan paquetes al eth0 con estos
detalles:
@IP origen: 127.0.0.1
@MAC origen: 00:02:fc:85:30:70
@IP destino: X.X.X.181  <-- mi IP en eth0
@MAC destino: 00:40:f4:74:47:cd  <-- mi MAC en eth0

Como he dicho, la MAC origen la he localizado en una máquina de la red de mi
ISP. Es decir, los paquetes me llegan desde fuera!, no sé como decirlo.

>> El ordenador hace proxy (iptables-NAT) con eth0 la salida a internet
>>  y eth1 conectado a la red privada.
>
>Aqui puede estar el problema. Revisa tus reglas para ver si aplican a
>situaciones no pretendidas.
Adjunto mi script de firewall-nat. Aunque no tengo nada estraño: algunas
redirecciones, alguna redirección también, permito sólo ssh cerrando lo
demás.redirección también.

>> He estado investigando y los martians son paquetes con dirección
>> imposible, en este caso los recibo en eth0, conteniendo como
>> dirección origen la dirección de loopback 127.0.0.1.
>
>Esto es correcto. Probablemente sea el resultado de un error en alguna
>regla.
En esto discrepo. He snifado con tcpdump y he instalado snort para ver los
logs.
Los paquetes se reciben en eth0, desde fuera, estoy seguro y los logs me lo
confirman.
Además, vienen desde una MAC que he localizado en un hosts de la red mi ISP.

>> Sé si pongo "echo 0 > /proc/sys/net/ipv4/conf/all/log_martians"
>> desactivaré los mensajes, pero lo que me gustaría saber es si existe
>> otra forma de solventar el problema o averiguar un poco más acerca
>> de qué está pasando.
>
>Bueno, si el coche hace un ruido raro, yo también subo la rádio Pero
>yo creo que deberias mirarte lo que has hecho.
Aplicando tu símil: he revisado el coche, le he puesto chivatos y nada. Por
último he puesto un silenciador.

>> He probado a poner reglas en el iptables que me rechacen estos
>> paquetes pero se ve que no llega a iptables, los mensajes son del
>> propio kernel y es este el que los rechaza.
>
>Estoy 99% seguro que la fuente de estos marcionos eres tú mismo.
A esto ya te he contestado.

>> Trasteando con ettercap he visto que MAC origen 00:02:fc:85:30:70
>> corresponde a la dirección X.X.X.1, que parece ser el gateway que me
>> da mi ISP (menta). Pero en las tablas arp aparece esto:
>
>> docsX-X.menta.net (X.X.X.1) at 00:02:FC:85:30:54 [ether] on eth0
>
>Nunca confies en ningún IP/MAC que pertenece a alguien fuera de tu
>control, especialmente a un ISP grande, porque muchas veces hacen un
>load balancing o algunos obstáculos para que no puedas hacer lo que no
>quieren que hagas. Durante un tiempo, a la Telefónica aqui le gustaba
>causar un flip/flop, o sea que un IP cambia de MAC y vuelta a la MAC
>anterior un poco mas tarde (ciclicamente). Tampoco puedes asumir que
>la respuesta de un paquete viene por el mismo camino en que se fue la
>pregunta. Esto está explicitamente permitido en los protocolos IP.

Tomo nota.

>> Es decir, una mac distinta para la misma ip. No sé si alguien está
>> intentando suplantar la mac o es problema del cable-modem...
>
>Tienes control sobre tus máquinas. No puede controlar la MAC de
>otros. Una MAC puede estar para mas que un IP y un IP en mas de un
>MAC. Esto no es ninguna violación de los estándares.

Bueno, por lo general 1 IP <-> 1 MAC. Si bien es cierto que existen Proxys
ARP y que, por otro lado, puedes configurar una ethernet con más de una IP.
Pero si cuando envías una petición ARP sólo una contesta, cuando lo hacen 2
mal asunto, querría decir que alguien está intentando spoofear.

>> Hasta ahora sólo he desactivado los mensajes porque era muy molesto,
>> pero me interesaría saber si existe otra posiblidad de solventar el
>> problema. La situación es muy extraña y quisiera saber si alguno de
>> vosotros os habeís encontrado en circustancias parecidas y si lo
>> habeís solucionado de otra forma. Otra cosa que no entiendo es que
>> hace el gateway de mi ISP enviandome estos paquetes...
>
>Si. Piensa-te bien como funcionan tus reglas de NAT. De lo que dices
>es el primer punto donde miraria yo.
Mis reglas NAT son una regla solamente. No creo que el enmascaramiento tenga
más historia. Además, el enmascaramiento consigue que mi proxy actúe como
intermediario, si fuese problema de las reglas NAT estos mensajes se
trasladarían dentro mi propia LAN.

Vuelvo a repetir, el problema es que recibo paquetes desde el exterior, en
mi eth0, con dirección IP de origen 127.0.0.1, que es imposible. Buscando
por internet a bastante gente le pasa y suele corresponder con algún
graciosillo que se está intentando divertir. No sé que tienen que ver mis
reglas en esto y, la verdad, tampoco sé como tendría que configurar IPTABLES
para conseguir el mismo efecto, por criterios de simplicidad sigo pensanso
que no es mi problema.  ;)

Aún así adjunto mi script por si soís capaces de ver algo que pueda ser el
origen del problema, en cuyo caso tendré que retractarme de todo lo dicho.
Casi que prefiero que sea eso, así lo solucionaría de forma más fácil.
>Christoph Simon
Angel Viudez
Reply to: