Server nahle zacal prijimat pakety, ktere mu nepatri

Stepan Roh stepan na srnet.cz
Pátek Srpen 5 11:46:59 CEST 2005 

On Fri, 5 Aug 2005, Peter Surda wrote:

>> Gateway (s jadrem 2.4.29) ma dve sitovky, eth0 ven (konkretne do UPC) s
>> adresou 1.2.3.4 (maska 255.255.255.0), eth1 je vnitrni s IP 10.0.0.1
>> (maska 255.0.0.0). Pro vnitrni sit se provadi maskarada. Je tam take
>> nakonfigurovan firewall pres ipchains.
> Na jadro 2.4 su lepsie iptables.

Vim, vim, jeste jsem se nedokopal k tomu to prevest.

>> Vcera zniceho nic stoupl mnohonasobne pocet zalogovanych odmitnutych
>> paketu. Kdyz jsem se na ne podrobne podival, tak jsem ke svemu prekvapeni
>> zjistil, ze nejsou vubec urceny memu stroji a nektere nejsou dokonce ani
>> ze stejne podsite (dle masky). Zda se, ze server prijima vsechny pakety,
>> ktere se ocitnou na stejnem "segmentu" UPC.

> No, prijma ako prijma. Pokial nie je karta v promiskuitnom mode, prijima 
> pakety, ktore maju ako destination MAC uvedenu jeho alebo broadcast.

Ano, to jsem si myslel. Diky.

> Ako vzdy v pripadoch ked sa tok dat nesprava tak ako clovek ocakava, odporucam
> tcpdump, v tomto pripade este mozno pridat -e aby zobrazil aj MAC adresy.

Chapu-li to vsak dobre, tak potrebuju zajistit, aby tcpdump zachytaval ty 
zahozene pakety, ktere se vsak k nemu skrz paketovy filtr nedostanou. Mam 
pravdu nebo jsem mimo?

> Este ma napada, neinterpretujes nahodou tie logy zle a neposiela tie pakety
> nejaka masina z LAN-u?

Ne. Priklad (ted jiz bez obfuskace, nemam jiz co skryvat :-) ):

Aug  5 11:41:15 alfa kernel: Packet log: input DENY eth0 PROTO=17 
200.125.46.95:11107 86.49.13.242:6290 L=47 S=0x20 I=8984 F=0x0000 T=108 
(#50)

ifconfig:

eth0      Link encap:Ethernet  HWaddr 00:00:B4:AB:33:EB
           inet addr:86.49.11.245  Bcast:86.49.11.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:38824392 errors:0 dropped:336 overruns:0 frame:270631
           TX packets:6562360 errors:4 dropped:0 overruns:0 carrier:8
           collisions:68 txqueuelen:1000
           RX bytes:1160639607 (1106.8 Mb)  TX bytes:2782278382 (2653.3 Mb)
           Interrupt:10 Base address:0x300

eth1      Link encap:Ethernet  HWaddr 00:00:B4:AC:78:F5
           inet addr:10.0.0.1  Bcast:10.255.255.255  Mask:255.0.0.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:3829961 errors:0 dropped:0 overruns:0 frame:18491
           TX packets:6218964 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000
           RX bytes:332843990 (317.4 Mb)  TX bytes:4222721780 (4027.1 Mb)
           Interrupt:11 Base address:0x320

lo        Link encap:Local Loopback
           inet addr:127.0.0.1  Mask:255.0.0.0
           UP LOOPBACK RUNNING  MTU:16436  Metric:1
           RX packets:1646570 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1646570 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:500439341 (477.2 Mb)  TX bytes:500439341 (477.2 Mb)

S pozdravem,

Stepan Roh

Další informace o konferenci Linux