Hi, On Fri, Jan 11, 2008 at 11:29:47AM +0100, Szabo Istvan wrote: > Jan 11 11:15:11 proxy kernel: New not syn: IN=eth0 OUT= > MAC=00:15:f2:7a:f7:4f:00:50:7f:44:4a:32:08:00 SRC=195.228.245.1 > DST=193.226.203.6 LEN=76 TOS=0x00 PREC=0x00 TTL=56 ID=55603 DF PROTO=TCP > SPT=110 DPT=2421 WINDOW=8388 RES=0x00 ACK PSH URGP=0 > Jan 11 11:15:11 proxy kernel: Invalid packet: IN=eth0 OUT= > MAC=00:15:f2:7a:f7:4f:00:50:7f:44:4a:32:08:00 SRC=195.228.245.1 > DST=193.226.203.6 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=9758 DF PROTO=TCP > SPT=110 DPT=2421 WINDOW=8388 RES=0x00 ACK FIN URGP=0 > Jan 11 11:15:12 proxy kernel: Invalid packet: IN=eth0 OUT= > MAC=00:15:f2:7a:f7:4f:00:50:7f:44:4a:32:08:00 SRC=195.228.245.1 > DST=193.226.203.6 LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=0 PROTO=TCP SPT=110 > DPT=2421 WINDOW=0 RES=0x00 RST URGP=0
Hat, inkabb azt nezd meg mi loggol ilyeneket :) Tippem szerint ezt egy -j LOG target-u szabaly loggolja ahol valoszinu az "Invalid packet:" illetve "New not syn:" string-ek is megvannak a --log-prefix kapcsolo utan. Pl nezd meg ennek a kimenetet (root-kent): iptables-save | grep LOG Akkor azt is latni fogod mi loggolja ezt (alapvetoen arrol van szo, hogy Te kered, hogy ezt loggolja a netfilter nem magatol teszi!), amugy elnevezesebol latszolag arra kovetkeztetek (marmint a log prefix elnevezesebol) hogy az Invalid az vmi --state INVALID packetekre vonatkozo loggolas, a New not syn az meg az, hogy NEW allapotu packetre nincs syn bit, vagy vmi hasonlo, ilyeneket hasznalok en is. Tipikusan loggol is rendesen nalam is, foleg ha szabalyokat ujraloki az ember, vagy gep ujraindul barmi, mert ha van egy masik oldal szerint kiepult tcp kapcsolat, az folytatna a dolgot, de ugye itt meg a conntrack tablaban errol semmi nincs. Vagy lehet pl ilyen/olyan tipusu portscan. Es hasonlok. Jah, es windows-nal pl rendszeres mindenfele anomalia, mert imho TCP-t nem igazan ugy kezeli ahogy kene, nalunk ceges fw-ken ontjak a logot hasonlo helyzetben az fw-k (nem pont ugyanerrol van szo, de hasonlo dolgok). -- - Gábor _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
