Архив форумов ЦИТФорума

[BusTeR]

Есть локалка. 192.168.2.0/24, все ходят в инет через роутер 192.168.2.1. На роутере стоит AltMaster2.2. Смотрю # tcpdump -i eth1 -n
вижу:
17:41:51.605765 127.0.0.1.http > 192.168.136.40.1259: R 0:0(0) ack 1881931777 win 0
17:41:51.623945 127.0.0.1.http > 192.168.201.40.1094: R 0:0(0) ack 369033217 win 0
17:41:51.646745 127.0.0.1.http > 192.168.12.167.1929: R 0:0(0) ack 1003683841 win 0
17:41:51.664022 127.0.0.1.http > 192.168.80.78.1629: R 0:0(0) ack 166789121 win 0
17:41:51.684035 127.0.0.1.http > 192.168.145.78.1464: R 0:0(0) ack 801439745 win 0
17:41:51.704089 127.0.0.1.http > 192.168.211.205.h323hostcallsc: R 0:0(0) ack 1436024833 win 0
17:41:51.724086 127.0.0.1.http > 192.168.21.205.1135: R 0:0(0) ack 2070675457 win 0
17:41:51.744230 127.0.0.1.http > 192.168.86.77.1971: R 0:0(0) ack 557776897 win 0
17:41:51.764170 127.0.0.1.http > 192.168.152.77.1806: R 0:0(0) ack 1192361985 win 0
17:41:51.784179 127.0.0.1.http > 192.168.217.204.1642: R 0:0(0) ack 1827012609 win 0
17:41:51.804217 127.0.0.1.http > 192.168.27.205.1477: R 0:0(0) ack 314114049 win 0
17:41:51.824237 127.0.0.1.http > 192.168.93.77.1312: R 0:0(0) ack 948764673 win 0
17:41:51.845180 127.0.0.1.http > 192.168.158.204.1916: R 0:0(0) ack 1583349761 win 0
17:41:51.864333 127.0.0.1.http > 192.168.223.204.1751: R 0:0(0) ack 70516737 win 0
17:41:51.884331 127.0.0.1.http > 192.168.34.76.1587: R 0:0(0) ack 705101825 win 0
17:41:51.907097 127.0.0.1.http > 192.168.99.76.1422: R 0:0(0) ack 1339752449 win 0
17:41:51.924403 127.0.0.1.http > 192.168.164.203.1258: R 0:0(0) ack 1974337537 win 0
17:41:51.945780 127.0.0.1.http > 192.168.229.203.1093: R 0:0(0) ack 461504513 win 0
17:41:51.964475 127.0.0.1.http > 192.168.40.76.1928: R 0:0(0) ack 1096089601 win 0
17:41:51.984530 127.0.0.1.http > 192.168.105.203.1764: R 0:0(0) ack 1730740225 win 0
17:41:52.004478 127.0.0.1.http > 192.168.170.203.1599: R 0:0(0) ack 217841665 win 0
что происходит непойму, пытаюсь зафильтерить всё уходящее с локалхоста:
# ipchains -I input -s 127.0.0.1 -d 0/0 -j REJECT
# ipchains -I output -s 127.0.0.1 -d 0/0 -j REJECT
не помагает...
попытался отключить всех пользователей в сети, может кто-то выпендривается: ipchains -s input -s 192.168.0.0/16 -j REJECT отключил, ничего не помогло. Также есть ещё одна проблема, сначала от одного пользователя, теперь от другого валят пакеты на 135й порт постоянно меняющихся ip адресов.
17:46:23.316639 192.168.2.9.4912 > 184.217.138.82.135: S 2464814611:2464814611(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.317057 192.168.2.9.4913 > 184.217.138.83.135: S 2464853153:2464853153(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.317458 192.168.2.9.4914 > 184.217.138.84.135: S 2464916588:2464916588(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.317859 192.168.2.9.4915 > 184.217.138.85.135: S 2464981680:2464981680(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.318258 192.168.2.9.4916 > 184.217.138.86.135: S 2465028468:2465028468(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.318663 192.168.2.9.4917 > 184.217.138.87.135: S 2465077299:2465077299(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.319068 192.168.2.9.4918 > 184.217.138.88.135: S 2465127641:2465127641(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.319552 192.168.2.9.4919 > 184.217.138.89.135: S 2465162078:2465162078(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.319963 192.168.2.9.4920 > 184.217.138.90.135: S 2465205948:2465205948(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.320359 192.168.2.9.4921 > 184.217.138.91.135: S 2465240246:2465240246(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.320772 192.168.2.9.4922 > 184.217.138.92.135: S 2465289059:2465289059(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.321174 192.168.2.9.4923 > 184.217.138.93.135: S 2465322120:2465322120(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.321569 192.168.2.9.4924 > 184.217.138.94.135: S 2465373814:2465373814(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
17:46:23.321971 192.168.2.9.4925 > 184.217.138.95.135: S 2465432001:2465432001(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
Похоже на сканенье портов юзера.
Это при:
ipchains -s 192.168.2.0/24 -d 0/0 -p tcp --dport 135 -j DENY
Посоветуйте, что мне делать?? я вообще в шоке!!!

[:)]

это нечто подобное:
http://www.viruslist.com/viruslist.html?id=2727712
порты закрывай и на винюки апдейты полжи. этого счастья у тебя полная сетка.
что касается первой части вопроса - странно, такого не встречал

[BusTeR]

Вообще не пойму в чём дело???
11:13:03.543657 192.168.2.9.4754 > 141.100.241.132.135: S 3194775345:3194775345(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.544205 192.168.2.9.4755 > 141.100.241.133.135: S 3194815398:3194815398(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.544640 192.168.2.9.4756 > 141.100.241.134.135: S 3194867120:3194867120(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.545119 192.168.2.9.4757 > 141.100.241.135.135: S 3194913557:3194913557(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.545544 192.168.2.9.4758 > 141.100.241.136.135: S 3194949665:3194949665(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.546019 192.168.2.9.4759 > 141.100.241.137.135: S 3195007971:3195007971(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
11:13:03.546453 192.168.2.9.4760 > 141.100.241.138.135: S 3195051333:3195051333(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)

я делаю:
# ipchains -I inpuе -s 192.168.2.0/24 -d 0/0 -p tcp --dport 135 -j DENY

всё равно то же самое ((((
что это???

[B@rmaley]

в цепочку INPUT попадают пакеты, предназначенные для локальных приложений. а пакеты, которые идут транзитом (наружу), как в твоём случае,

17:46:23.321971 192.168.2.9.4925 > 184.217.138.95.135: S

идут через FORWARD. уловил мысль?

[BusTeR]

Я знаю, у меня и в forward стоит:
# ipchains -I forward -s 192.168.2.0/24 -d 0/0 -p tcp --dport 135 -j DENY
в чём прикол?? а пакеты со 127.0.0.1 с 80го порта так и сыпятся, хотя всё что можно остановлено из снервисов...