Re: [HS-edk] Encore =?iso-8859-1?Q?Iptable?= =?iso-8859-1?Q?s_mais_=E7a?= marche presque...

Emmanuel Lesouef Tue, 23 Sep 2003 08:30:17 -0500

<Message original de Mourad Jaber en date du mardi 23 septembre 2003 à 15:12>


> re,
> C'est surtout de l'udp  :
> Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253 
> DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=13246 PROTO=UDP 
> SPT=64101 DPT=51946 LEN=8
> Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253 
> DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=19588 PROTO=UDP 
> SPT=64102 DPT=24723 LEN=8
> Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253 
> DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=56625 PROTO=UDP 
> SPT=64105 DPT=43955 LEN=8
> 
> beaucoup moins de tcp :
> Sep 23 14:30:41 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=80.11.215.112 
> DST=81.56.81.22 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=53090 DF PROTO=TCP 
> SPT=4662 DPT=2546 WINDOW=16968 RES=0x00 ACK SYN URGP=0
> Sep 23 14:49:56 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=81.50.158.89 
> DST=81.56.81.22 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=48703 PROTO=TCP 
> SPT=4662 DPT=1631 WINDOW=0 RES=0x00 ACK RST URGP=0

Tout ca semble provenir des logiciels peer-to-peer. Le 4662 en tcp etant un
des ports d'établissement de connexion. Je suppose que les lignes transmises
via udp proviennent de transfert de fichiers.

> 
> Est-ce que ce sont des packets invalides ( le OUT ne semble pas populé )?
> Comme avant, mes regles de log ne fonctionnaient pas je les avais 
> peut-être déjà.... Parce que c'est impressionnant d'avoir soudain  5Mo 
> de syslog à l'heure pour un accés adsl perso !

Si tu fais du P2P, ne log pas tout les paquets... Tu vas rapidement atteindre
des volumes tres important.

> 
> Merci
>

De rien, j'espere que c'est l'explication.

-- 
        Emmanuel Lesouef
        Association CaLviX
        Caen - 14000 (France)
        [EMAIL PROTECTED]
Clé GPG : http://www.elesouef.info/elesouef.asc
Important ! -> http://brevets-logiciels.info

pgpqjf5sgqU1r.pgp
Description: PGP signature

Re: [HS-edk] Encore =?iso-8859-1?Q?Iptable?= =?iso-8859-1?Q?s_mais_=E7a?= marche presque...

Répondre à