Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

Log ricorrente su firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Andrea Bondi
Ospite





MessaggioInviato: Gio 10 Mag 2007 14:15    Oggetto: Log ricorrente su firewall Rispondi citando

Salve a tutti:
ho una rete interna che, attraverso un firewall, si interfaccia con il
resto del mondo.

Come già avevo segnalato nel post "Sotto attacco DOS? nf_conntrack:
table full, dropping" dell'8/5 alle 10.27, da qualche tempo la rete
smette improvvisamente di funzionare, apparentemente con l'errore:
"nf_conntrack: table full, dropping packet."

Ho ancora fatto caso al log raccolto da dmesg, e molto spesso mi trovo
questa riga:

[84492.954555] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=221.1.100.196
DST=213.174.166.137 LEN=66 TOS=0x00 PREC=0x00 TTL=94 ID=8514 PROTO=UDP
SPT=12121 DPT=5594 LEN=46

[87421.205123] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=61.153.224.108
DST=213.174.166.137 LEN=404 TOS=0x00 PREC=0x00 TTL=110 ID=36622
PROTO=UDP SPT=1211 DPT=1434 LEN=384

[87538.887036] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=84.137.199.114
DST=213.174.166.137 LEN=63 TOS=0x00 PREC=0x00 TTL=111 ID=43406 PROTO=UDP
SPT=64862 DPT=3388 LEN=43

Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?

Altra riga che torna spesso è la seguente:

[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0

Che posso interpretare da questi log?

Sono davvero abbastanza in crisi, mi si blocca spesso la rete del server
e tutti i servizi ovviamente sono inutilizzabili...

Saluti
Andrea
Top
m
Ospite





MessaggioInviato: Gio 10 Mag 2007 14:47    Oggetto: Log ricorrente su firewall Rispondi citando

* Andrea Bondi (erlug@xxxxxx.xyz) [070510 15:16]:
Citazione:

Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?


io toglierei il primo e l'ultimo 00 e controllerei

0e:0c:71:fa:43:00

0a:8a:ac:6a:80:08

Citazione:
Altra riga che torna spesso è la seguente:

[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0

Che posso interpretare da questi log?


vedendo un 169.254, direi che c'e` di mezzo un pc win che non riesce a
prendere un indirizzo ...

_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------
Top
Andrea Bondi
Ospite





MessaggioInviato: Gio 10 Mag 2007 14:54    Oggetto: Log ricorrente su firewall Rispondi citando

Il giorno gio, 10/05/2007 alle 15.47 +0200, m@xxxxxx.xyz ha
scritto:
Citazione:
* Andrea Bondi (erlug@xxxxxx.xyz) [070510 15:16]:
Citazione:

Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?


io toglierei il primo e l'ultimo 00 e controllerei

0e:0c:71:fa:43:00

0a:8a:ac:6a:80:08

Ma questi due non sono indirizzi validi: dal lookup se prendo i primi 12
numeri ed i secondi dodici (00:0e:0c:71:fa:43 - 00:0a:8a:ac:6a:80)
invece sono relativi a due vendor giusti: Intel e Cisco...

Citazione:

Citazione:
Altra riga che torna spesso è la seguente:

[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0

Che posso interpretare da questi log?


vedendo un 169.254, direi che c'e` di mezzo un pc win che non riesce a
prendere un indirizzo ...


Nun cumprendo... Dici cioè un dhcp che non va? Forse qualcuno
dall'esterno che vuole prendersi un indirizzo interno (192.168.0.75 non
è assegnato nella mia interna!)

Ciao e grazie!
Andrea
Top
Marco Innocenti
Ospite





MessaggioInviato: Gio 10 Mag 2007 18:06    Oggetto: Log ricorrente su firewall Rispondi citando

On Thu, May 10, 2007 at 03:15:49PM +0200, Andrea Bondi wrote:
Citazione:
Come già avevo segnalato nel post "Sotto attacco DOS? nf_conntrack:
table full, dropping" dell'8/5 alle 10.27, da qualche tempo la rete
smette improvvisamente di funzionare, apparentemente con l'errore:
"nf_conntrack: table full, dropping packet."
Ho ancora fatto caso al log raccolto da dmesg, e molto spesso mi trovo
questa riga:
[84492.954555] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=221.1.100.196
DST=213.174.166.137 LEN=66 TOS=0x00 PREC=0x00 TTL=94 ID=8514 PROTO=UDP
SPT=12121 DPT=5594 LEN=46

Non ho letto quel thread per cui forse rispondo a sproposito.
Il log che riporti e' un DROP e non ha nulla a che fare con il
problema delle tabelle delle connessioni piena. Devi guardare ai flussi
che accetti.
Con il comando "wc -l /proc/net/ip_conntrack" vedi quante connessioni hai
in corso, quando questo numero è alto salvati la tabella (p.e.
"cat /proc/net/ip_conntrack > /tmp/ip_conntrack") e poi guardala
per cercare di capire cosa ti provoca le connessioni.


_________________
Ciao
Marco Innocenti
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it