susefirewall

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Ответить
Аватара пользователя
Serega86
Сообщения: 199
ОС: OpenSuse

susefirewall

Сообщение Serega86 »

Добрый день. Помогите разобраться с firewall'ом шлюза. С 14 числа запустил и по сей день такая муть в логах. Кто-то постоянно ломится на шлюз. За несколько дней лог firewall разросся.

Код: Выделить всё

Nov 16 08:30:04 gate kernel: [85955.557708] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=89.215.48.208 DST=мой_внешний_ip LEN=157

TOS=0x00 PREC=0x00 TTL=45 ID=8960 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.100 LEN=129 TOS=0x00 PREC=0x00 TTL=117 ID=13286 DF PROTO=UDP SPT=11777 DPT=48448

LEN=109]


Nov 16 08:30:14 gate kernel: [85966.319558] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=109.62.178.55 DST=мой_внешний_ip LEN=48

TOS=0x00 PREC=0x00 TTL=119 ID=8000 DF PROTO=TCP SPT=61400 DPT=33301 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A001010402)


Nov 16 08:30:15 gate kernel: [85966.716022] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=134.130.114.48 DST=мой_внешний_ip LEN=126

TOS=0x00 PREC=0x00 TTL=246 ID=10363 PROTO=UDP SPT=10307 DPT=24967 LEN=106


Nov 16 08:30:17 gate kernel: [85969.034971] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=178.206.38.145 DST=мой_внешний_ip LEN=121

TOS=0x00 PREC=0x00 TTL=246 ID=49288 PROTO=ICMP TYPE=3 CODE=3 [SRC=мой_внешний_ip DST=178.206.38.145 LEN=93 TOS=0x00 PREC=0x00 TTL=117 ID=657 PROTO=UDP SPT=40515 DPT=20835

LEN=73 ]


Nov 16 08:30:35 gate kernel: [85986.492915] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=77.126.71.55 DST=мой_внешний_ip LEN=52

TOS=0x00 PREC=0x00 TTL=118 ID=5537 DF PROTO=TCP SPT=59390 DPT=39361 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405480103030201010402)
Nov 16 08:30:35 gate kernel: [85986.510573]

SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=77.126.71.55 DST=мой_внешний_ip LEN=58 TOS=0x00 PREC=0x00 TTL=108 ID=5540 PROTO=UDP

SPT=50260 DPT=39361 LEN=38

Nov 16 08:30:37 gate kernel: [85988.677917] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=89.215.48.208 DST=мой_внешний_ip LEN=157

TOS=0x00 PREC=0x00 TTL=45 ID=8981 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.100 LEN=129 TOS=0x00 PREC=0x00 TTL=117 ID=2165 DF PROTO=UDP SPT=11777 DPT=48448

LEN=109 ]

Nov 16 08:30:54 gate kernel: [86006.292571] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=188.112.244.103 DST=мой_внешний_ip LEN=48

TOS=0x00 PREC=0x00 TTL=123 ID=37778 DF PROTO=TCP SPT=4581 DPT=35175 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055001010402)


Nov 16 08:30:55 gate kernel: [86006.714549] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=109.251.85.247 DST=мой_внешний_ip LEN=93

TOS=0x00 PREC=0x00 TTL=246 ID=47893 PROTO=UDP SPT=34422 DPT=49586 LEN=73


Nov 16 08:30:58 gate kernel: [86009.446256] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=151.63.202.233 DST=мой_внешний_ip LEN=160

TOS=0x00 PREC=0x00 TTL=54 ID=28743 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.2 LEN=132 TOS=0x00 PREC=0x00 TTL=118 ID=2209 PROTO=UDP SPT=40515 DPT=46781

LEN=112 ]

Nov 16 08:31:15 gate kernel: [86026.356107] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=58.173.67.42 DST=мой_внешний_ip LEN=131

TOS=0x00 PREC=0x00 TTL=100 ID=345 PROTO=UDP SPT=43909 DPT=35175 LEN=111


Nov 16 08:31:19 gate kernel: [86030.597800] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=89.215.48.208 DST=мой_внешний_ip LEN=157

TOS=0x00 PREC=0x00 TTL=45 ID=9005 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.100 LEN=129 TOS=0x00 PREC=0x00 TTL=117 ID=30036 DF PROTO=UDP SPT=11777 DPT=48448

LEN=109 ]


Nov 16 08:31:34 gate kernel: [86046.289531] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=193.110.77.9 DST=мой_внешний_ip LEN=48

TOS=0x00 PREC=0x00 TTL=115 ID=18949 DF PROTO=TCP SPT=60865 DPT=39361 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)


Nov 16 08:31:35 gate kernel: [86046.442843] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=78.24.225.210 DST=мой_внешний_ip LEN=58

TOS=0x00 PREC=0x00 TTL=122 ID=22338 PROTO=UDP SPT=60900 DPT=39361 LEN=38


Nov 16 08:31:37 gate kernel: [86048.697894] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=89.215.48.208 DST=мой_внешний_ip LEN=157

TOS=0x00 PREC=0x00 TTL=45 ID=9017 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.100 LEN=129 TOS=0x00 PREC=0x00 TTL=117 ID=8864 DF PROTO=UDP SPT=11777 DPT=48448

LEN=109 ]


Nov 16 08:31:55 gate kernel: [86066.299578] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=92.43.185.52 DST=мой_внешний_ip LEN=48

TOS=0x00 PREC=0x00 TTL=120 ID=8277 DF PROTO=TCP SPT=1937 DPT=39361 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)


Nov 16 08:31:55 gate kernel: [86066.312628] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=205.250.158.225 DST=мой_внешний_ip LEN=126

TOS=0x00 PREC=0x00 TTL=118 ID=14836 PROTO=UDP SPT=11442 DPT=35175 LEN=106


Nov 16 08:32:04 gate kernel: [86075.607810] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=89.215.48.208 DST=мой_внешний_ip LEN=157

TOS=0x00 PREC=0x00 TTL=45 ID=9032 PROTO=ICMP TYPE=3 CODE=1 [SRC=мой_внешний_ip DST=192.168.1.100 LEN=129 TOS=0x00 PREC=0x00 TTL=117 ID=26631 DF PROTO=UDP SPT=11777 DPT=48448

LEN=109 ]


Nov 16 08:32:15 gate kernel: [86086.367765] SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00 SRC=24.178.85.231 DST=мой_внешний_ip LEN=134

TOS=0x00 PREC=0x00 TTL=113 ID=11315 PROTO=UDP SPT=54482 DPT=24967 LEN=114

еще очень интересует что это за мак такой OUT= MAC=00:10:18:a1:5f:60:00:26:55:da:f6:b9:08:00
И есть ли способы борьбы с атакующими.
PS: OS OpenSUSE11.4 маскарадящий ЛВС во внешку средствами susefirewall
Все глюки Windows исправляются установкой Linux!
Спасибо сказали:
alex_suse
Сообщения: 204
ОС: Debian, openSUSE, Gentoo

Re: susefirewall

Сообщение alex_suse »

не очень ясно, что именно пишется в лог, только куски, когда уже есть подозрение или это все дропы. Если последнее, то ничего странного
обычные запросы с разных ип на разные порты. Вот если первое, то лучше конечно таких отсекать, в сети много тупых сканеров и не только тупых.

Как в susefirewall делать не знаю, но он скорее всего фронт-енд надо iptables, вот там можно, копать в сторону recent, выбрать методу и банить таких.
Первая часть MAC это ваша, вторая того кто посылает пакет.
Спасибо сказали:
Аватара пользователя
Serega86
Сообщения: 199
ОС: OpenSuse

Re: susefirewall

Сообщение Serega86 »

alex_suse писал(а):
17.11.2011 18:51
не очень ясно, что именно пишется в лог, только куски, когда уже есть подозрение или это все дропы. Если последнее, то ничего странного
обычные запросы с разных ип на разные порты. Вот если первое, то лучше конечно таких отсекать, в сети много тупых сканеров и не только тупых.

Как в susefirewall делать не знаю, но он скорее всего фронт-енд надо iptables, вот там можно, копать в сторону recent, выбрать методу и банить таких.
Первая часть MAC это ваша, вторая того кто посылает пакет.

спасибо что откликнулись. Просто как запусти шлюз с 14 числа, идет постоянная запись в лог drop разные ip, а вот удаленный мак один и тот же. Не могу понять что за попытки атаки на шлюз
Все глюки Windows исправляются установкой Linux!
Спасибо сказали:
Аватара пользователя
DaemonTux
Сообщения: 1480
Статус: Юный падаван
ОС: Gentoo

Re: susefirewall

Сообщение DaemonTux »

Скорее всего мак щлюза провайдера
Vladivostok Linux User Group
Спасибо сказали:
Ответить