Alguem sabe o que é isso no LOG do iptables? [RESOLVIDO]

vaini
(usa Debian)

Enviado em 11/01/2012 - 19:08h

Estou fazendo alguns testes na minha rede, e uma conexão que estou tentando fazer esta bloqueada. O log do iptables gera a seguinte linha:

Jan 11 18:10:35 linux kernel: [71706.696016] Firewall - TS:IN=eth0 OUT= MAC=00:1d:92:79:9d:18:00:14:7f:01:36:c2:08:00 SRC=187.34.48.220 DST=187.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=3390 DF PROTO=TCP SPT=58504 DPT=3389 WINDOW=8192 RES=0x00 SYN URGP=0

Estou tentando descobrir ao que se refere esse mac no log do iptables: MAC=00:1d:92:79:9d:18:00:14:7f:01:36:c2:08:00

O que é essa informação? porque tão grande?

Destalhe que essa informação não corresponde ao mac da minha placa de rede, nem do meu modem, nem do meu roteador. O que??

Obrigado pela ajuda

balani
(usa Slackware)

Enviado em 11/01/2012 - 20:15h

Amigo é mensagem do iptables, isso quer dizer que alguem está passando pelo firewall pela porta 3389, ou tentando conectar nele ou outro server dentro da rede.

phrich
(usa Slackware)

Enviado em 12/01/2012 - 11:01h

Vamos ver por partes:

Jan 11 18:10:35 linux kernel: [71706.696016] Firewall - TS:IN=eth0 OUT= MAC=00:1d:92:79:9d:18:00:14:7f:01:36:c2:08:00 SRC=187.34.48.220 DST=187.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=3390 DF PROTO=TCP SPT=58504 DPT=3389 WINDOW=8192 RES=0x00 SYN URGP=0


Jan 11 18:10:35 = data

linux kernel: [71706.696016] = Kernel

Firewall - Indica que é log do iptables

TS:IN=eth0 OUT= MAC=00:1d:92:79:9d:18:00:14:7f:01:36:c2:08:00 = Saída do TS(RDP) a partir do mac citado

SRC=187.34.48.220 = Origem do pacote

DST=187.xxx.xxx.xxx = Destino do pacote

TOS=0x00 PREC=0x00 = Relacionados a prioridade do serviço (o 0x00 é o padrão não há prioridades)

TTL=125 = Dispensa comentários

ID=3390 DF = Não lembro de cabeça o que é

PROTO=TCP = Protocolo usado

SPT=58504 = Porta de origem

DPT=3389 = Porta de destino

WINDOW=8192 = Não lembro
RES=0x00 = Não lembro
SYN URGP=0 = Não lembro



Mas resumindo, todo o log do iptables é grande assim...

vaini
(usa Debian)

Enviado em 12/01/2012 - 12:11h

phrich obrigado pela ajuda.

Realmente este topico e o outro estão inter-relacionados.

Estou tentando encontrar possibilidades diferentes para resolver o mesmo problema.

Porém o MAC=00:1d:92:79:9d:18:00:14:7f:01:36:c2:08:00 não se refere ao MAC que originou a requisição.

Eu fiz algumas verificações e descobri que a primeira parte deste grande numero se refere ao MAC da interface de rede que recebeu a requisição, no meu caso eth0. O restante do MAC é que eu nao consegui descobrir o que é. O que eu achei interessante é que não bate com nenhum mac de nenhum pc ou notebook que eu usei para fazer os testes.

Nem do modem, nem nada...

Nesse momento eu estou começando a acreditar que nao tem como filtar isso por mac, talvez pq o iptables nao reconheça um mac vindo pela eth0 ou ppp0, seja como for.

phrich
(usa Slackware)

Enviado em 12/01/2012 - 12:41h

Cara realmente de cabeça eu não lembro, mas mais tarde eu posso até lhe responder, porém se vc estiver com muita pressa, faça um teste:

crie uma regra de log para ssh por exemplo, ai vc pega o mac do seu firewall e o mac da estação que vc usou para fazer o acesso, daí vc pode comparar uma saída de log com esta.

vaini
(usa Debian)

Enviado em 12/01/2012 - 14:01h

eu fiz esse teste que vc sugeriu. Na maquina virtual funciona. Agora na vida real, não funciona.

Eu usei exatamente o mesmo script de firewall tanto na maquina virtual como na real.
Mas fico aguardando sua resposta.