Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 42713
11.05.2006, 13:19
0.00 руб.
0 12 3
Компьютеры Программное обеспечение Операционные системы
На сервере стоит дистрибутив Mandriva 2006. Файервол (iptables) тоже присутствует и пишет в консоль всякое разное. В общих чертах я представляю себе что происходит. Собственно вопрос в том - есть ли программа, которая переваривает ниже указанные строки и выдает более внятный результат типа: сканирование с адреса...., сетевые черви, фу, какая гадость... ?
Пример того, что он пишет в консоль:
REJECTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00 SRC=172.20.46.115 DST=172.20.47.117 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=6113 DF PROTO=TCP SPT=1394 DPT=80 SEQ=1837032590 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

REJECTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00 SRC=172.20.46.115 DST=172.20.47.117 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=6116 DF PROTO=TCP SPT=1394 DPT=80 SEQ=1837032590 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

REJECTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00 SRC=172.20.46.115 DST=172.20.47.117 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=6117 DF PROTO=TCP SPT=1394 DPT=80 SEQ=1837032590 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

kernel: DROPPED IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:61:1d:36:2c:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

kernel: DROPPED IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:61:1d:36:2c:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=352 TOS=0x00 PREC=0x00 TTL=128 ID=1 PROTO=UDP SPT=68 DPT=67 LEN=332

kernel: ABORTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:0d:61:08:46:1c:08:00 SRC=172.20.40.122 DST=172.20.47.117 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=445 DF PROTO=TCP SPT=1066 DPT=139 SEQ=3985006487 ACK=4129523265 WINDOW=0 RES=0x00 ACK RST URGP=0

Обсуждение

Неизвестный
11.05.2006, 13:28
общий
это ответ
Здравствуйте, Pon4ik!

Для Мандривы в контрибах есть хороший пакет для работы с файрволлом - Firestarter
Рекомендую.. Довольно просто в настройке, и дает мониторинг подключений с возможностями управлять ими...
Неизвестный
11.05.2006, 13:33
общий
По моему у вас включено дествие <em>-j LOG</em> и в /etc/syslog.conf написано чтобы это действие выводить на консоль. А вы никакую программку типа front-end для iptables не устанавливали? Если устанавливали снесите ее или спокойной жизни вам не видатьИ в мини-форуме разместите ваш iptables-saveХотя бы с действием LOG или ULOG
Неизвестный
11.05.2006, 14:35
общий
Файла iptables-save в системе нет. Для настройки я использовал программу Guard dog с диска от журнала "Хакер". Зато есть файл /etc/rc.firewall , который весит 128 кб. Он был создан этой программой. Мне в принципе всё равно, что он пишет в консоль. Я спрашивал насчёт "расшифровки" указанных строк. Как то: сканирование с адреса ..., DDoS, попытка применения эксплоитов и т.д..
Неизвестный
11.05.2006, 14:49
общий
Коннечно этого файла нет, надо самому создатьiptables-save >/fireи этот fire (думаю он ограмный) желательно на минифорум.Мой вам совет; не используйте фронт енды. Вы не можете контролировать процесс. Лучше освойте самостоятельно iptable http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html Здесь лежит мануал
Неизвестный
11.05.2006, 15:59
общий
Я П-Р-О-Ш-У Р-А-С-Ш-И-Ф-Р-О-В-К-У ЛОГОВ. И в общем-то спасибо за материалов по настройке iptables.Результат работы iptables-save: Generated by iptables-save v1.3.3 on Wed May 11 19:49:01 2005*nat:PREROUTING ACCEPT [11552:812923]:POSTROUTING ACCEPT [68:8739]:OUTPUT ACCEPT [68:8739]COMMIT# Completed on Wed May 11 19:49:01 2005# Generated by iptables-save v1.3.3 on Wed May 11 19:49:01 2005*mangle:PREROUTING ACCEPT [4668247:6795650337]:INPUT ACCEPT [4667966:6795619417]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [2409623:117228642]:POSTROUTING ACCEPT [2409625:117229115]COMMIT# Completed on Wed May 11 19:49:01 2005# Generated by iptables-save v1.3.3 on Wed May 11 19:49:01 2005*filter:INBOUND - [0:0]:INPUT DROP [6:468]:FORWARD DROP [0:0]:LOG_FILTER - [0:0]:LSI - [0:0]:LSO - [0:0]:OUTBOUND - [0:0]:OUTPUT DROP [0:0]-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -s 172.20.47.116 -j ACCEPT -A INBOUND -p tcp -m tcp --dport 137 -j ACCEPT -A INBOUND -p udp -m udp --dport 137 -j ACCEPT -A INBOUND -j LSI -A INPUT -s 127.0.0.1 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -s 127.0.0.1 -p udp -j ACCEPT -A INPUT -s 62.33.56.12 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -s 62.33.56.12 -p udp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT -A INPUT -s 224.0.0.0/255.0.0.0 -j DROP -A INPUT -d 224.0.0.0/255.0.0.0 -j DROP -A INPUT -s 255.255.255.255 -j DROP -A INPUT -d 0.0.0.0 -j DROP -A INPUT -m state --state INVALID -j DROP -A INPUT -f -m limit --limit 10/min -j LSI -A INPUT -i eth0 -j INBOUND -A INPUT -j LOG_FILTER -A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6 -A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT -A FORWARD -j LOG_FILTER -A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6 -A LSI -j LOG_FILTER -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6 -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6 -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6-A LSI -p icmp -m icmp --icmp-type 8 -j DROP -A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6 -A LSI -j DROP -A LSO -j LOG_FILTER-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6 -A LSO -j REJECT --reject-with icmp-port-unreachable -A OUTBOUND -p icmp -j ACCEPT -A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTBOUND -j ACCEPT -A OUTPUT -s 172.20.47.117 -d 127.0.0.1 -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -s 172.20.47.117 -d 127.0.0.1 -p udp -m udp --dport 53 -j ACCEPT-A OUTPUT -s 172.20.47.117 -d 62.33.56.12 -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -s 172.20.47.117 -d 62.33.56.12 -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s 224.0.0.0/255.0.0.0 -j DROP -A OUTPUT -d 224.0.0.0/255.0.0.0 -j DROP -A OUTPUT -s 255.255.255.255 -j DROP -A OUTPUT -d 0.0.0.0 -j DROP -A OUTPUT -m state --state INVALID -j DROP -A OUTPUT -o eth0 -j OUTBOUND -A OUTPUT -j LOG_FILTER -A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6 COMMIT# Completed on Wed May 11 19:49:01 2005
Неизвестный
11.05.2006, 16:02
общий
Собственно смысл установки файервола в том, чтобы к Samba все имели доступ, остальные порты (службы) были закрыты.
Неизвестный
11.05.2006, 16:20
общий
это ответ
Здравствуйте, Pon4ik!

Ну, перво на перво, вам необходимо разобраться в:

1) /etc/syslog.conf - так как все это на консоли Вам не нада. Отредактируйте источник kernel
2) для "перехвата" и "фуканья"Вам нужен SNORT http://www.snort.org или portsentry - точно сайта не помню. iptables может конечно все это отлавиливать и "фукаться" - НО... Вам нада СТОЛЬКО написать правил под каждвую сигнатуру....... УУУ... Если что - см. действие LOG и ULOG.
Неизвестный
11.05.2006, 16:33
общий
это ответ
Здравствуйте, Pon4ik!
Если вы просите расшифровки логов, попробуем
<em>
REJECTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00 SRC=172.20.46.115 DST=172.20.47.117 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=6113 DF PROTO=TCP SPT=1394 DPT=80 SEQ=1837032590 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
</em>
REJECTED IN=eth0 OUT= MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00 - говорит о том, что выполнилось действие REJECT на входе в сетевой интерфейс eth0 от MAC=00:10:4b:2c:1b:2c:00:00:21:24:39:d9:08:00

SRC и DST - сответственно IP адреса источника и назначения сетевого пакета.

LEN TOS TTL (в винде = 128) ID DF - это данные об IP пакете (расшифровывать не буду

PROTO=TCP SPT=1394 DPT=80 SEQ=1837032590 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 - TCP пакета

Не думаю что вам полегчало от такого ответа, но вы сами просили расшифровки логов
Неизвестный
11.05.2006, 16:56
общий
Издеваетесь... Попробую чуть уточнить вопрос - Из этих строк можно извлечь полезные данные или эти логи можно стирать?
Неизвестный
11.05.2006, 22:27
общий
Зачем вы так про издевательство!Я могу рассматривать это как неуважение к моему труду. Я потратил время, составляя для вас вопрос, а вы <em>издеваетесь</em>.А после этого всего вы уточняете вопрос.Как я могу вам ответить, можете ли вы извлечь данные или нет. Если вы хотите знать кто обладатель данного пакета, то в данном логе можно почерпнуть информацию.Если вам это не нужно - удаляйте.
Неизвестный
12.05.2006, 08:35
общий
Ну извиняйте. Если всё это написать кратко, то по-моему получилось так:Q) ...есть ли программа....?A) Настройка файервола... логи....программа по настройки....Ну и получил ли я ответ?
Неизвестный
12.05.2006, 10:05
общий
Мирошник Александр дал вам полный ответ по вашему вопросуЗачем я буду его повторятьВы просили расшифровки логов, я расшифровал
Форма ответа