iptables -- interpretacja loga

qba7878 · Post autor: **qba7878** » 16 września 2009, 16:17

Witam,

Ostatnimi czasy zauważyłem dziwny powtarzający się wpis w logu iptables:

Sep 16 16:04:19 debian-router kernel: [473976.775304]  INPUT IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:a0:ce:56:da:08:00 SRC=10.101.8.1 DST=255.255.255.255 LEN=308 TOS=0x00 PREC=0x00 TTL=255 ID=7432 PROTO=UDP SPT=67 DPT=68 LEN=288

W ciągu ostatnich dwóch tygodni pojawił się 3587 razy. Adres źródłowy nie jest z mojej sieci. Czy któś móglby pomóc mi zinterpretować ten wpis?

bbmti · Post autor: **bbmti** » 17 września 2009, 12:05

Wygląda na to, że ten IP 10.101.8.1 to serwer DHCP, który rozsyła adresy rozgłoszeniowe po sieci z portu 67 (serwer bootp) na port 68 (klient bootp).

qba7878 · Post autor: **qba7878** » 17 września 2009, 20:22

Serwer DHCP, który przyznaje mi IP ma inny adres. Z adresu, który podałem jestem notorycznie bombardowany. Podany adres docelowy to adres rozgłoszeniowy, ale tak jak napisałem adres źródłowy nie jest z mojej sieci.

bbmti · Post autor: **bbmti** » 18 września 2009, 09:30

Nie wiem czy ten log, który tu podałeś to informacja z ,,drop'' czy tylko logowanie iptables. Jak Ci to bardzo przeszkadza to zrób ,,DROP'' na ten adres i finał. Jak widać jest to w łańcuchu ,,INPUT''czyli dotyczy Twojego serwera:

Kod: Zaznacz cały

iptables -I INPUT 1 -p udp -s 10.101.8.1 -d 0/0 -j DROP

Jak chcesz zbadać temat, to sprawdź programem tcpdump czy Twoja maszyna nie wysyła nic pod ten adres IP lub jakiś zapytań do DHCP.