[glux] firewall.....

Enrico Amati enrico@ac-amati.it
Gio 4 Set 2003 16:16:58 CEST 

At 14.46 04/09/2003 +0200, ikv6 wrote:
>ragazzi mi spiegate che sta cercando di fare :
>
> >Sep  4 14:40:32 linux kernel: martian source 80.180.133.141 from 127.0.0.1,
>on dev ppp0
>Sep  4 14:40:32 linux kernel: ll header: 45:08:00:28 <
>
>tenendo presente che fino a 5 giorni fa nn esisteva....cioe' improvvisamente
>ha iniziato a darmi sta scritta nel log del firewall... ripetutamente ogni
>4/5 secondi.


pork... è pressapoco quanto ho io...

a naso:
1. Hai una ADSL tin.it come me
2. tcpdump segna come se ci fosse un port scanning da localhost (127.0.0.1) 
su te stesso (80.180.133.141 è l'indirizzo ppp). Esempio che succede a me:

15:09:12.162567 localhost.http > 
host34-33.pool80180.interbusiness.it.lontalk-urgnt: R 0:0(0) ack 861470721 
win 0
15:09:14.159134 localhost.http > host34-33.pool80180.interbusiness.it.1064: 
R 0:0(0) ack 1360723969 win 
0
15:09:18.671825 localhost.http > host34-33.pool80180.interbusiness.it.1882: 
R 0:0(0) ack 896139265 win 0
(io sono host34-33 per il "mondo")

ho pensato inizialmente che qualcuno/qualcosa si fosse infilato in apache 
(localhost.http) e avesse generato un portscanning sul server per vedere se 
ci fossero port aperte: se però chiudo apache (e molto altro) continua 
senza tregua, solo se tiro giù pppoe smette... non saprei proprio...

mi fa dubitare parecchio che l'header è lo stesso...

boh ! se qualcuno sa qualcosa di più faccia un fischio!


ciao
chk




ps
Ho pensato che forse c'è qualcosa di sbagiato nelle politiche di routing / 
defaultgw :

a me risulta infatti (route -n)

ppp0      Link encap:Point-to-Point 
Protocol
         inet 
addr:80.180.33.34  P-t-P:192.168.100.1  Mask:255.255.255.255 

         UP POINTOPOINT RUNNING NOARP 
MULTICAST  MTU:1492  Metric:1
         RX packets:27266 errors:0 dropped:0 overruns:0 
frame:0
         TX packets:19790 errors:0 dropped:1 overruns:0 
carrier:0
         collisions:0 txqueuelen:3

Ma la tabella di routing è:

Kernel IP routing 
table
Destination     Gateway         Genmask         Flags Metric Ref    Use 
Iface
192.168.100.1   0.0.0.0         255.255.255.255 UH    0      0        0 
ppp0
10.10.10.254    0.0.0.0         255.255.255.255 UH    0      0        0 
eth1
127.0.0.0       0.0.0.0         255.255.255.0   U     0      0        0 
lo
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 
eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 
eth1
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 ppp0

Ovvero mette nel routing l'inidirzzo PTP e non l'inet... e questo può 
generare confusione nel kernel.... cmq una cosa del genere era già accaduta 
ai primi di agosto, poi però aveva smesso...

Maggiori informazioni sulla lista glux