From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dor@kiev-online.net>
Date: Fri, 3 Oct 2003 18:11:09 +0300
From: "Dmytro O. Redchuk" <dor@kiev-online.net>
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] iptables vs. =?koi8-u?Q?=DA?=
	=?koi8-u?B?xNLB19nKINPN2dPMPw==?=
Message-ID: <20031003151109.GI1607@kiev-online.net>
Mail-Followup-To: sisyphus@altlinux.ru
References: <20031003175619.4e571a85.peet@eltel.net>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-u
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20031003175619.4e571a85.peet@eltel.net>
User-Agent: Mutt/1.4.1i
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: sisyphus@altlinux.ru
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 03 Oct 2003 15:11:12 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20031003151109.GI1607@kiev-online.net/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

On Fri, Oct 03, 2003 at 05:56:19PM +0400, Peter V. Saveliev wrote:
> 
> В iptables:
> 
> [root@***** root]# iptables -L -n -v 
> Chain INPUT (policy ACCEPT 323 packets, 29233 bytes)
>  pkts bytes target     prot opt in     out     source               destination         
>     4  1312 DROP       all  --  *      *       192.168.111.2        255.255.255.255    
[...]

> Но в /var/log/messages:
> 
> Oct  3 17:50:39 backup01 dhcpd: DHCPINFORM from 192.168.111.2 via eth0: unknown subnet 0.0.0.0
> Oct  3 17:51:03 backup01 last message repeated 3 times
> 
> 
> Так я не понял, они были дропнуты? Если да, то почему они попали к
> dhcpd? А если нет, то какого лешего? Плиз, помогите.
Можно попробовать от'snort'тить трафик, и параллельно кидать в логи
информацию о дропнутых пакетах.

Я не уверен, что знаю, какие пакеты и какого формата бегают в процессе
общения между клиентом и сервером. Так как DCHP -- не совсем ip, поэтому
что-то может проскакивать мимо iptables. Другой вопрос, откуда же dhcpd
знает адрес, который кидает в лог -- тут и надо бы почитать rfc на DCHP
(а их несколько, с изменениями и дополнениями).

> 
> -- 
>  17:53:45  up 22 days,  5:11,  6 users,  load average: 0.65, 0.97, 0.97
> 
> ++
> Sincerely, Peter V. Saveliev
> 
> E-mail: peet@eltel.net
> Jabber: peet@jabber.ru
> 
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk