Zahadne spojeni v ip_conntrack
Jan Drahos
jan_drahos na fmail.co.uk
Středa Únor 11 16:52:25 CET 2004
Dnes rano jsem jen tak zbezne koukal do /proc/net/ip_conntrack a narazil
jsem na zahadne spojeni:
tcp 6 423244 ESTABLISHED src=192.168.1.1 dst=81.0.234.104
sport=42128 dport=80 [UNREPLIED] src=81.0.234.104 dst=192.168.1.1
sport=80 dport=42128 use=1
tcp 6 372583 ESTABLISHED src=192.168.10.100 dst=81.0.234.104
sport=1039 dport=5223 src=81.0.234.104 dst=192.168.1.1 sport=5223
dport=1039 [ASSURED] use=1
192.168.1.1 je adresa na eth0 ven, cele je to este za NAT 1:1.
192.168.10.100 je notebook ktery jsem naposledy zapinal tak dva dni
zpatky, kde se tam vzal?
pritom mam nastaveno overovani na eth1(nase LAN) dle mac adresy. V arp
tabulce neni ke vyse zminene adrese zaznam. V iptables mam hned na
prvnim miste v chainu INPUT a FORWARD ochranu proti spoofingu. Ve
FORWARD mam jeste stavovy firewall.
Distro je RH 9.1
bezi mi tam bind 9.2.1,apache,sendmail,dhcpd,ssh,syslog,squid,vsftpd
xinetd jez pousti imapd. Bindu cumi ven jenom query source port 53 jinak
vse ostatni z eth0v INPUT dropuju.
Krom bindu vse posloucha jen na LAN adrese eth1(192.168.10.254). U
syslogu a dhcpd dropuju jejich porty v INPUT pro eth0.
Zkusil jsem nmapem proverit porty zvenci ale krom UDP portu 53 nic nenasel.
Je mozne ze se mi tam dostal naky blb?
Další informace o konferenci Linux