Архив форумов ЦИТФорума

[void]

Господа уважаемые специалисты!

Это фантастика или что?
Сегодня перехал на новый интерфейс cisco провайдера и получил .... Ё!!!
Мой ISA-сервер отбивается от пакетов, которые едут из ИНЕТ!!!, но в качестве адреса отправителя содержат адреса приватной сети 192.168.200.х.(см. ниже).
Когда я попингал (с английскими буквами -а) эти хосты, мой DNS радостно сообщил (из кэша зон .arpa.in-addr.192.168.), что это хосты *.iana.org.
Теперь эта гадкая *.iana.org как будто в хабе в соседней комнате. ISA-сервер отбивается, как может. Боюсь не выдержит...

Такое точно бывает?
Ниже фрагмент лога ISA, а затем то, что насобирал мой DNS-сервер.


11/6/2001, 16:39:50, 192.168.200.5, 192.168.200.255, Udp, 137, 137, -, BLOCKED, 195.151.178.134, 45 00 00 4e 31 e0 00 00 80 11 f6 68 c0 a8 c8 05 c0 a8 c8 ff, 00 89 00 89 00 3a b4 2c 00 7e 01 10 00 01 00 00 00 00 00 00 20 44 43 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00 00 20 00 01
11/6/2001, 16:41:29, 192.168.200.2, 255.255.255.255, Udp, 1253, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 dc d4 00 00 80 11 d5 45 c0 a8 c8 02 ff ff ff ff, 04 e5 69 87 00 14 53 7b ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:25, 192.168.200.3, 255.255.255.255, Udp, 1078, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 62 b7 00 00 80 11 4f 62 c0 a8 c8 03 ff ff ff ff, 04 36 69 87 00 14 54 29 ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:41, 192.168.200.2, 192.168.200.255, Udp, 138, 138, -, BLOCKED, 195.151.178.134, 45 00 00 e6 64 d5 00 00 80 11 c2 de c0 a8 c8 02 c0 a8 c8 ff, 00 8a 00 8a 00 d2 2e ec 11 02 01 4e c0 a8 c8 02 00 8a 00 bc 00 00 20 44 43 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 41 41 00 20 45 48 45 42 45 4e 45 46 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43
11/6/2001, 16:42:44, 192.168.200.5, 255.255.255.255, Udp, 1089, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 88 06 00 00 80 11 2a 11 c0 a8 c8 05 ff ff ff ff, 04 41 69 87 00 14 54 1c ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:46, 192.168.200.3, 255.255.255.255, Udp, 1081, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 7f b8 00 00 80 11 32 61 c0 a8 c8 03 ff ff ff ff, 04 39 69 87 00 14 54 26 ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:47, 192.168.200.3, 255.255.255.255, Udp, 1081, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 80 b8 00 00 80 11 31 61 c0 a8 c8 03 ff ff ff ff, 04 39 69 87 00 14 54 26 ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:48, 192.168.200.4, 255.255.255.255, Udp, 1103, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 df be 00 00 80 11 d2 59 c0 a8 c8 04 ff ff ff ff, 04 4f 69 87 00 14 54 0f ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:42:50, 192.168.200.6, 255.255.255.255, Udp, 1155, 27015, -, BLOCKED, 195.151.178.134, 45 00 00 28 93 48 00 00 80 11 1e ce c0 a8 c8 06 ff ff ff ff, 04 83 69 87 00 14 53 d9 ff ff ff ff 64 65 74 61 69 6c 73 00
11/6/2001, 16:43:41, 192.168.200.4, 192.168.200.255, Udp, 138, 138 ...

[and3008]

Бывает и не такое.

Блокируй такие пакеты на уровне фильтров TCP/IP и спи спокойно. Не фига их в логи собирать.

А вообще я бы проверил маршрутизацию на пограничном роутере.

[Dmitry.Karpov]

Сведения от DNS насчет имен, соответствующих адресам 192.168.*.*, верить не следует - это самоприсвоенная зона, так что резолвить ее можно кто во что горазд. Надо бы хоть выяснить, что за DNS-сервер резолвит адреса...

Можно присвоить любой машине любой IP-номер и послать от этого IP-номера пакет люборй машине в Internet, т.е. адрес отправителя ни о чем не говорит. Отслеживать источник пакетов надо на роутерах, начиная с ближайшего...