Server nahle zacal prijimat pakety, ktere mu nepatri
Stepan Roh
stepan na srnet.cz
Pátek Srpen 5 11:46:59 CEST 2005
On Fri, 5 Aug 2005, Peter Surda wrote:
>> Gateway (s jadrem 2.4.29) ma dve sitovky, eth0 ven (konkretne do UPC) s
>> adresou 1.2.3.4 (maska 255.255.255.0), eth1 je vnitrni s IP 10.0.0.1
>> (maska 255.0.0.0). Pro vnitrni sit se provadi maskarada. Je tam take
>> nakonfigurovan firewall pres ipchains.
> Na jadro 2.4 su lepsie iptables.
Vim, vim, jeste jsem se nedokopal k tomu to prevest.
>> Vcera zniceho nic stoupl mnohonasobne pocet zalogovanych odmitnutych
>> paketu. Kdyz jsem se na ne podrobne podival, tak jsem ke svemu prekvapeni
>> zjistil, ze nejsou vubec urceny memu stroji a nektere nejsou dokonce ani
>> ze stejne podsite (dle masky). Zda se, ze server prijima vsechny pakety,
>> ktere se ocitnou na stejnem "segmentu" UPC.
> No, prijma ako prijma. Pokial nie je karta v promiskuitnom mode, prijima
> pakety, ktore maju ako destination MAC uvedenu jeho alebo broadcast.
Ano, to jsem si myslel. Diky.
> Ako vzdy v pripadoch ked sa tok dat nesprava tak ako clovek ocakava, odporucam
> tcpdump, v tomto pripade este mozno pridat -e aby zobrazil aj MAC adresy.
Chapu-li to vsak dobre, tak potrebuju zajistit, aby tcpdump zachytaval ty
zahozene pakety, ktere se vsak k nemu skrz paketovy filtr nedostanou. Mam
pravdu nebo jsem mimo?
> Este ma napada, neinterpretujes nahodou tie logy zle a neposiela tie pakety
> nejaka masina z LAN-u?
Ne. Priklad (ted jiz bez obfuskace, nemam jiz co skryvat :-) ):
Aug 5 11:41:15 alfa kernel: Packet log: input DENY eth0 PROTO=17
200.125.46.95:11107 86.49.13.242:6290 L=47 S=0x20 I=8984 F=0x0000 T=108
(#50)
ifconfig:
eth0 Link encap:Ethernet HWaddr 00:00:B4:AB:33:EB
inet addr:86.49.11.245 Bcast:86.49.11.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38824392 errors:0 dropped:336 overruns:0 frame:270631
TX packets:6562360 errors:4 dropped:0 overruns:0 carrier:8
collisions:68 txqueuelen:1000
RX bytes:1160639607 (1106.8 Mb) TX bytes:2782278382 (2653.3 Mb)
Interrupt:10 Base address:0x300
eth1 Link encap:Ethernet HWaddr 00:00:B4:AC:78:F5
inet addr:10.0.0.1 Bcast:10.255.255.255 Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3829961 errors:0 dropped:0 overruns:0 frame:18491
TX packets:6218964 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:332843990 (317.4 Mb) TX bytes:4222721780 (4027.1 Mb)
Interrupt:11 Base address:0x320
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1646570 errors:0 dropped:0 overruns:0 frame:0
TX packets:1646570 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500439341 (477.2 Mb) TX bytes:500439341 (477.2 Mb)
S pozdravem,
Stepan Roh
Další informace o konferenci Linux