Se me olvidó el attachment. Angel ----- Original Message ----- From: "Christoph Simon" <ml133@netpole.com.br> To: <debian-user-spanish@lists.debian.org> Sent: Monday, April 05, 2004 1:49 AM Subject: Re: Alguien sabe algo de martians? On Sun, 4 Apr 2004 23:37:19 +0300 "Angel Viudez" <krispi03@casal.upc.es> wrote: > Desde hace algún tiempo me salen repetidamente estos mensajes en el > var/log/syslog y en la pantalla. > > Mar 24 02:15:56 puck kernel: martian source X.X.X.181 from 127.0.0.1, on dev eth0 > Mar 24 02:15:56 puck kernel: ll header: 00:40:f4:74:47:cd:00:02:fc:85:30:70:08:00 "martians" son paquetes de datos que vienen de un lugar desde donde no pueden venir. La interface local lookback (127.0.0.1) no emite ningun paquete con el IP x.x.x.181, sin embargo el kernel ha recebido un paquete que parece haber salido de 127.0.0.1 pero tiene como remitente una direción diferente. Como has tapado los dígitos con x.x.x supongo que conoces esta dirección, talvez es la de tu interface interna o externa. Esto huele a un problema de configuración. Algun NAT o redireccionamiento que en este caso particular no hace sentido al kernel. > El ordenador hace proxy (iptables-NAT) con eth0 la salida a internet > y eth1 conectado a la red privada. Aqui puede estar el problema. Revisa tus reglas para ver si aplican a situaciones no pretendidas. > He estado investigando y los martians son paquetes con dirección > imposible, en este caso los recibo en eth0, conteniendo como > dirección origen la dirección de loopback 127.0.0.1. Esto es correcto. Probablemente sea el resultado de un error en alguna regla. > Sé si pongo "echo 0 > /proc/sys/net/ipv4/conf/all/log_martians" > desactivaré los mensajes, pero lo que me gustaría saber es si existe > otra forma de solventar el problema o averiguar un poco más acerca > de qué está pasando. Bueno, si el coche hace un ruido raro, yo también subo la rádio Pero yo creo que deberias mirarte lo que has hecho. > He probado a poner reglas en el iptables que me rechacen estos > paquetes pero se ve que no llega a iptables, los mensajes son del > propio kernel y es este el que los rechaza. Estoy 99% seguro que la fuente de estos marcionos eres tú mismo. > Trasteando con ettercap he visto que MAC origen 00:02:fc:85:30:70 > corresponde a la dirección X.X.X.1, que parece ser el gateway que me > da mi ISP (menta). Pero en las tablas arp aparece esto: > docsX-X.menta.net (X.X.X.1) at 00:02:FC:85:30:54 [ether] on eth0 Nunca confies en ningún IP/MAC que pertenece a alguien fuera de tu control, especialmente a un ISP grande, porque muchas veces hacen un load balancing o algunos obstáculos para que no puedas hacer lo que no quieren que hagas. Durante un tiempo, a la Telefónica aqui le gustaba causar un flip/flop, o sea que un IP cambia de MAC y vuelta a la MAC anterior un poco mas tarde (ciclicamente). Tampoco puedes asumir que la respuesta de un paquete viene por el mismo camino en que se fue la pregunta. Esto está explicitamente permitido en los protocolos IP. > Es decir, una mac distinta para la misma ip. No sé si alguien está > intentando suplantar la mac o es problema del cable-modem... Tienes control sobre tus máquinas. No puede controlar la MAC de otros. Una MAC puede estar para mas que un IP y un IP en mas de un MAC. Esto no es ninguna violación de los estándares. > Hasta ahora sólo he desactivado los mensajes porque era muy molesto, > pero me interesaría saber si existe otra posiblidad de solventar el > problema. La situación es muy extraña y quisiera saber si alguno de > vosotros os habeís encontrado en circustancias parecidas y si lo > habeís solucionado de otra forma. Otra cosa que no entiendo es que > hace el gateway de mi ISP enviandome estos paquetes... Si. Piensa-te bien como funcionan tus reglas de NAT. De lo que dices es el primer punto donde miraria yo. Christoph Simon
Attachment:
mynatfirewall.sh
Description: Binary data