|
|
iptables -- interpretacja loga
qba7878 - 16-09-2009 16:17
Witam,
Ostatnimi czasy zauważyłem dziwny powtarzający się wpis w logu iptables:
Sep 16 16:04:19 debian-router kernel: [473976.775304] INPUT IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:a0:ce:56:da:08:00 SRC=10.101.8.1 DST=255.255.255.255 LEN=308 TOS=0x00 PREC=0x00 TTL=255 ID=7432 PROTO=UDP SPT=67 DPT=68 LEN=288
W ciągu ostatnich dwóch tygodni pojawił się 3587 razy. Adres źródłowy nie jest z mojej sieci. Czy któś móglby pomóc mi zinterpretować ten wpis?
bbmti - 17-09-2009 12:05
Wygląda na to, że ten IP 10.101.8.1 to serwer DHCP, który rozsyła adresy rozgłoszeniowe po sieci z portu 67 (serwer bootp) na port 68 (klient bootp).
qba7878 - 17-09-2009 20:22
Serwer DHCP, który przyznaje mi IP ma inny adres. Z adresu, który podałem jestem notorycznie bombardowany. Podany adres docelowy to adres rozgłoszeniowy, ale tak jak napisałem adres źródłowy nie jest z mojej sieci.
bbmti - 18-09-2009 09:30
Nie wiem czy ten log, który tu podałeś to informacja z ,,drop'' czy tylko logowanie iptables. Jak Ci to bardzo przeszkadza to zrób ,,DROP'' na ten adres i finał. Jak widać jest to w łańcuchu ,,INPUT''czyli dotyczy Twojego serwera:
iptables -I INPUT 1 -p udp -s 10.101.8.1 -d 0/0 -j DROP
Jak chcesz zbadać temat, to sprawdź programem tcpdump czy Twoja maszyna nie wysyła nic pod ten adres IP lub jakiś zapytań do DHCP.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
