Precedente :: Successivo |
Autore |
Messaggio |
Andrea Bondi Ospite
|
Inviato: Gio 10 Mag 2007 14:15 Oggetto: Log ricorrente su firewall |
|
|
Salve a tutti:
ho una rete interna che, attraverso un firewall, si interfaccia con il
resto del mondo.
Come già avevo segnalato nel post "Sotto attacco DOS? nf_conntrack:
table full, dropping" dell'8/5 alle 10.27, da qualche tempo la rete
smette improvvisamente di funzionare, apparentemente con l'errore:
"nf_conntrack: table full, dropping packet."
Ho ancora fatto caso al log raccolto da dmesg, e molto spesso mi trovo
questa riga:
[84492.954555] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=221.1.100.196
DST=213.174.166.137 LEN=66 TOS=0x00 PREC=0x00 TTL=94 ID=8514 PROTO=UDP
SPT=12121 DPT=5594 LEN=46
[87421.205123] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=61.153.224.108
DST=213.174.166.137 LEN=404 TOS=0x00 PREC=0x00 TTL=110 ID=36622
PROTO=UDP SPT=1211 DPT=1434 LEN=384
[87538.887036] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=84.137.199.114
DST=213.174.166.137 LEN=63 TOS=0x00 PREC=0x00 TTL=111 ID=43406 PROTO=UDP
SPT=64862 DPT=3388 LEN=43
Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?
Altra riga che torna spesso è la seguente:
[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0
Che posso interpretare da questi log?
Sono davvero abbastanza in crisi, mi si blocca spesso la rete del server
e tutti i servizi ovviamente sono inutilizzabili...
Saluti
Andrea |
|
Top |
|
|
m Ospite
|
Inviato: Gio 10 Mag 2007 14:47 Oggetto: Log ricorrente su firewall |
|
|
* Andrea Bondi (erlug@xxxxxx.xyz) [070510 15:16]:
Citazione: |
Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?
|
io toglierei il primo e l'ultimo 00 e controllerei
0e:0c:71:fa:43:00
0a:8a:ac:6a:80:08
Citazione: | Altra riga che torna spesso è la seguente:
[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0
Che posso interpretare da questi log?
|
vedendo un 169.254, direi che c'e` di mezzo un pc win che non riesce a
prendere un indirizzo ...
_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ -------------------------------------------------------------- |
|
Top |
|
|
Andrea Bondi Ospite
|
Inviato: Gio 10 Mag 2007 14:54 Oggetto: Log ricorrente su firewall |
|
|
Il giorno gio, 10/05/2007 alle 15.47 +0200, m@xxxxxx.xyz ha
scritto:
Citazione: | * Andrea Bondi (erlug@xxxxxx.xyz) [070510 15:16]:
Citazione: |
Come si vede, l'indirizzo MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00
ritorna sempre. Ho provato ad impostare, tramite l'interfaccia via
Webmin di Shorewall, un blocco sull'host
00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00, ma ovviamente mi segnala che
non è un MAC valido. E se prendo solo le prime 12 cifre continua a
loggare tutto (ora è impostato così e mi segna ancora queste righe).
Cosa sono quindi quei numeri (magici...)?
|
io toglierei il primo e l'ultimo 00 e controllerei
0e:0c:71:fa:43:00
0a:8a:ac:6a:80:08
|
Ma questi due non sono indirizzi validi: dal lookup se prendo i primi 12
numeri ed i secondi dodici (00:0e:0c:71:fa:43 - 00:0a:8a:ac:6a:80)
invece sono relativi a due vendor giusti: Intel e Cisco...
Citazione: |
Citazione: | Altra riga che torna spesso è la seguente:
[89724.780040] Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0
SRC=192.168.0.75 DST=169.254.113.45 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3187 DF PROTO=TCP SPT=1204 DPT=1117 WINDOW=65535 RES=0x00 SYN URGP=0
Che posso interpretare da questi log?
|
vedendo un 169.254, direi che c'e` di mezzo un pc win che non riesce a
prendere un indirizzo ...
|
Nun cumprendo... Dici cioè un dhcp che non va? Forse qualcuno
dall'esterno che vuole prendersi un indirizzo interno (192.168.0.75 non
è assegnato nella mia interna!)
Ciao e grazie!
Andrea |
|
Top |
|
|
Marco Innocenti Ospite
|
Inviato: Gio 10 Mag 2007 18:06 Oggetto: Log ricorrente su firewall |
|
|
On Thu, May 10, 2007 at 03:15:49PM +0200, Andrea Bondi wrote:
Citazione: | Come già avevo segnalato nel post "Sotto attacco DOS? nf_conntrack:
table full, dropping" dell'8/5 alle 10.27, da qualche tempo la rete
smette improvvisamente di funzionare, apparentemente con l'errore:
"nf_conntrack: table full, dropping packet."
Ho ancora fatto caso al log raccolto da dmesg, e molto spesso mi trovo
questa riga:
[84492.954555] Shorewall:net2fw:DROP:IN=eth1 OUT=
MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=221.1.100.196
DST=213.174.166.137 LEN=66 TOS=0x00 PREC=0x00 TTL=94 ID=8514 PROTO=UDP
SPT=12121 DPT=5594 LEN=46
|
Non ho letto quel thread per cui forse rispondo a sproposito.
Il log che riporti e' un DROP e non ha nulla a che fare con il
problema delle tabelle delle connessioni piena. Devi guardare ai flussi
che accetti.
Con il comando "wc -l /proc/net/ip_conntrack" vedi quante connessioni hai
in corso, quando questo numero è alto salvati la tabella (p.e.
"cat /proc/net/ip_conntrack > /tmp/ip_conntrack") e poi guardala
per cercare di capire cosa ti provoca le connessioni.
_________________
Ciao
Marco Innocenti |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|