Server nahle zacal prijimat pakety, ktere mu nepatri

[Stepan Roh]

On Fri, 5 Aug 2005, Petr Šobáň wrote:

> Stepan Roh napsal(a):
>> Konfigurace je nasledujici:
>>
>> Gateway (s jadrem 2.4.29) ma dve sitovky, eth0 ven (konkretne do UPC) s
>> adresou 1.2.3.4 (maska 255.255.255.0), eth1 je vnitrni s IP 10.0.0.1
>> (maska 255.0.0.0). Pro vnitrni sit se provadi maskarada. Je tam take
>> nakonfigurovan firewall pres ipchains.
>>
>> Ted problem:
>>
>> Vcera zniceho nic stoupl mnohonasobne pocet zalogovanych odmitnutych
>> paketu. Kdyz jsem se na ne podrobne podival, tak jsem ke svemu prekvapeni
>> zjistil, ze nejsou vubec urceny memu stroji a nektere nejsou dokonce ani
>> ze stejne podsite (dle masky). Zda se, ze server prijima vsechny pakety,
>> ktere se ocitnou na stejnem "segmentu" UPC.
>
> Máte veřejnou IP?
>
> Proč se za ni stydíte ? Myslýte si že každý začne honem posílat na váš
> server hromadu paketů, jak vidíte tak to funguje i bez zveřejnění.

To je jasne. Viz odpoved na mail p. Surdy.

> Samozřejmě ji nemusíte zveřejnovat celou ale IP 1.2.3.4 nám vůbec nic
> neřekne.

Myslim, ze vam to rekne to stejne jako ta prava 86.49.11.245. Jsou to 
jenom cisla.

> Jinak špatně nastaven router u UPC,

To se mi nezda, jeden "segment" (nevim, jak se tomu presne rika) se chova 
jako klasicky ethernet - lita tam uplne vsechno (i kdyz tu si nejsem uplne 
jisty, je to uz nejaky cas, co jsem to zjistoval a jak je videt z 
dotazu, tak expert nejsem :-) ).

> nějakej útok od hackerů,

Ty pakety vypadaji jako normalni provoz.

> špatně nastavená maškaráda,

Nasledujici pravidlo jsem nezmenil uz nekolik let a zatim zadny problem:

/sbin/ipchains -A forward -i eth0 -s 10.0.0.0/8 -j MASQ

Vice k maskarade tam neni.

> dále není to třeba i z vaší vnitřní sítě že si někdo hraje a mění si IP 
> ?

Z vnitrni site to neni (a nebo uz jsem uplne mimo), loguje se to na 
vnejsim rozhrani (viz odpoved na mail p. Surdy).

S pozdravem,

Stepan Roh