Il dom, 2002-03-03 alle 21:29, Linuxian ha scritto: > Da una settimana a questa parte noti nei miei file di log questi messaggi, > ripetuti varie volte, su porte diverse (25431, 5914, 111, 9668, 17027 etc): > > Mar 2 09:55:09 linuxian kernel: Packet log: input DENY ppp0 PROTO=6 > 192.168.143.68:110 62.98.204.71:25431 L=88 S=0x00 I=60857 F=0x4000 T=59 (#31) > > Che cosa significano, considerato che l'ip (192.168.143.68) � sempre lo > stesso? > Premetto che non ho una rete locale, e uso snort con un firewall ipchains > preso da qech, e che tripwire non mi segnala alterazioni nel file system. >
La porta che cambia e' solo quella di destinazione, mentre la porta sorgente e' sempre 110? Nel caso la porta sorgente fosse sempre <1024 e quella di destinazione >1023 potrebbe essere una semplice malconfigurazione dell'isp... altrimenti ha l'aria di un portscanning... e se l'indirizzo (privato) sorgente e' sempre lo stesso, beh, non vorrei sbilanciarmi, ma terrei in considerazione (anche se marginale) l'ipotesi che possa essere lanciato da una macchina dell'isp... comunque prova a postare un log un po' piu' completo... Ciao, Gian Piero.
