From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3FBA2418.1070003@diamonds.ru> Date: Tue, 18 Nov 2003 16:52:24 +0300 From: Evgeniy Kobzev User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.5) Gecko/20031006 X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] =?KOI8-R?Q?=F3=D4=D2=C1=CE=CE=D9=C5__=D0=C1=CB=C5?= =?KOI8-R?Q?=D4=D9_=CE=C1_=CD=C1=DB=D2=D5=D4=C9=DA=C1=D4=CF=D2=C5?= References: <200311181533.38907.mylinux02@mail.ru> <200311181523.40437.dima@academy.cap.ru> <200311181705.54914.mylinux02@mail.ru> In-Reply-To: <200311181705.54914.mylinux02@mail.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 18 Nov 2003 13:52:26 -0000 Archived-At: List-Archive: List-Post: Pavel Stoliarov пишет: > Вторник 18 Ноябрь 2003 16:23, Dmitry Nechaev написал: > >>В сообщении от Вторник 18 Ноябрь 2003 14:33 Pavel Stoliarov написал(a): >> >>>Привет всем ! >>> >>>Имеется маршрутизатор с ALM 2.2 , несколько сетевых интерфейсов , >>> соответсвенно несколько подсетей класса C принадлежащих разным >>>организациям. Часть пользователей имеют доступ в интернет через NAT , >>>часть через SQUID. В сети в основном машины с Windows 98-XP >>> На сетевом интерфейсе который смотрит в интернет появляются странные >>>пакеты , причем постоянно , от десятков до сотен в минуту. >>> >>> Кто нибудь может обяснить что это может быть ? >>> >>> IP адреса на которые уходят пакеты в основном левые , причем , если >>>внимательно посмотреть , следующий пакет уходит на IP + 1 , такое >>>впечатление кто то что то сканирует. Видимо подразумевалось ПОРТ + 1 >>> >>> Вот вывод tcpdump >>> >>>15:08:14.100549 xxx.ru.1951 > 25.248.80.5.135: S 2931981018:2931981018(0) >>>win 65280 (DF) >>>15:08:14.100942 xxx.ru.1952 > 25.248.80.6.135: S 2932033092:2932033092(0) >>>win 65280 (DF) >>>15:08:14.101325 xxx.ru.1953 > 25.248.80.7.135: S 2932072748:2932072748(0) >>>win 65280 (DF) >>>15:08:14.101642 xxx.ru.1954 > 25.248.80.8.135: S 2932111662:2932111662(0) >>>win 65280 (DF) >> >>Обрати внимание на порт назначения - 135 - и вспомни про недаюнюю эпидемию >>MSBlast. После чего принудительно прикрой порт и забей. > > Порт на маршрутизаторе закрыт , кроме ssh в интернет больше ничего не > смотрит. Проблема в другом. Пакеты из внутренней сети уходят наружу. > Непонятно , как найти источник того кто посылает эти пакеты. Пробовал > закрывать файрволом порты примерно так : > iptables -A FORWARD --i eth1 -o eth0 -p tcp --dport 135 -j DROP > iptables -A FORWARD --i eth1 -o eth0 -p udp --dport 135 -j DROP Это для FORWARD, а для INPUT не пытались? > и так далее для каждого внутреннего интерфейса и для портов 137,138, 139 > толку никакого не дало. :( INPUT даст.