The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Что за надписи непонятные??"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Что за надписи непонятные??"
Сообщение от Andrej Искать по авторуВ закладки(??) on 16-Авг-04, 13:03  (MSK)
в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но  в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Что за надписи непонятные??"
Сообщение от denn emailИскать по авторуВ закладки(??) on 17-Авг-04, 12:41  (MSK)
>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но  в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика?


решил проблему?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Что за надписи непонятные??"
Сообщение от Андрей Искать по авторуВ закладки(??) on 20-Авг-04, 12:28  (MSK)
Нет, увы.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Что за надписи непонятные??"
Сообщение от Chris emailИскать по авторуВ закладки(??) on 20-Авг-04, 12:32  (MSK)
а не дос атака ли это?
посмотри netstat -na
сколько коннектов?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Что за надписи непонятные??"
Сообщение от temny emailИскать по авторуВ закладки(ok) on 20-Авг-04, 14:04  (MSK)
>а не дос атака ли это?
>посмотри netstat -na
>сколько коннектов?
Может попробовать двинуться в направлении
ipfw a 100 deny log all from any to any iplen 1515-65535
или что-то вроде этого и далее смотреть в логи.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Что за надписи непонятные??"
Сообщение от screepah Искать по авторуВ закладки(??) on 20-Авг-04, 15:57  (MSK)
>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514)

флудят тебя
смотри кто и что и потом патчся

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Что за надписи непонятные??"
Сообщение от Андрей Искать по авторуВ закладки(??) on 24-Авг-04, 00:12  (MSK)
Нашел я причину пользуясь ettercap. Пару пользователей, заражены как понимаю червями, и шлют кучу траффика на 137 и 445 порты. Когда они в онлайне - все падает. Я их блокирую через arp ( на сервере статическая таблица), в rc.firewall блокирую 137 и 445 порты во всех направлениях на всех интерфейсах, тем не менее как только они включают компьютеры, все виснет, хотя когда я удаляю из базы их маки, интернет и сеть у них не работает. На внутреннем интерфейсе у меня сидит bandwidthd, он фиксирует прохождение траффика в размере 80 MBPS, через сетевую карту, смотрящую в сеть.
Ниже прилагаются файлы конфигураций, может сдесь чего не досмотрел???

rc.firewall:

/sbin/ipfw -f flush
/sbin/ipfw add 1 check-state
#Razresaem vsio cerez lo0
/sbin/ipfw add 2 allow all from any to any via lo0
#Zaprescajem prohozdenije "opasnih icmp fragmentirovannyh paketov"
/sbin/ipfw add 3 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 4 deny icmp from any to any frag
#####################################################
#Zaprety
/sbin/ipfw add 6 deny all from any to any 135,137,139,79,445 via rl0
/sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0
/sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1
/sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1
#####################################################
/sbin/ipfw add 10 divert natd all from any to any via rl1
#####################################################
/sbin/ipfw add 17 allow icmp from any to any
/sbin/ipfw add 19 allow udp from any to me 53                                  
/sbin/ipfw add 20 allow udp from me 53 to any
/sbin/ipfw add 21 allow udp from any 53 to me
/sbin/ipfw add 22 allow udp from me to any 53
/sbin/ipfw add 23 allow all from any to any via rl0
#####################################################      

ну а дальше уже пошли трубы...., что не есть актуально.

еще на сервере есть преобразование внутренних адресов во внешние, которое осуществляется так:

natd.conf
interface rl1
use_sockets yes
redirect_address 10.1.0.1 213.226.189.1
.................      

понимаю, что способ не очень хорош, а как иначе "навязать" внутренним адресам, при выходе в инет внешний? Может в этом есть доля проблемы?????
                                        

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Что за надписи непонятные??"
Сообщение от tiv Искать по авторуВ закладки on 24-Авг-04, 14:13  (MSK)

>/sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0
>
>/sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1
>
>/sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1
Вместо all, tcp или udp поставь, зависит от порта

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Что за надписи непонятные??"
Сообщение от Андрей Искать по авторуВ закладки(??) on 24-Авг-04, 19:07  (MSK)
А почему ALL нехорошо, вроде это описывает все типы протоколов, как написано в мануале???
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Что за надписи непонятные??"
Сообщение от tiv Искать по авторуВ закладки on 25-Авг-04, 09:32  (MSK)
Не все  протоколы  имеют порты, вот что говорит ipfw по этому поводу
ipfw: only TCP and UDP protocols are valid with port specifications
соответственно твои правила с deny all не выполняются

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Что за надписи непонятные??"
Сообщение от Andrej Искать по авторуВ закладки(??) on 25-Авг-04, 19:17  (MSK)
Понятно, большое спасибо. Нашел я еще одну проблему - через 6667 порт ( мирк ) несколько клиентов открывают по 5000 соединений в секунду на неизвестные хосты. Как решить эту проблему, ведь порт 6667 не запретить - все пользуются мирком? Может можно как-нибудь установить лимит скажем в 10 подключений именно с конкретных адресов; на конкретные порты, скажем 6667 не более 10 подключений, а все остальные - не более 30? ip в сети - 10.1.0.X, subnet mask 255,255,254,0
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Что за надписи непонятные??"
Сообщение от Andrej Искать по авторуВ закладки(??) on 27-Авг-04, 13:16  (MSK)
Ну подскажите хоть кто-нибудь, сейчас уже и 443 порт флудят только с внешних ип неизвестных на неизвестные...???
прописал такие правила - а ничего вообще с ними не работает? Ну что я неправильно прописал???

/sbin/ipfw add 12 deny tcp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 13 deny tcp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1
/sbin/ipfw add 14 deny tcp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 15 deny tcp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1
/sbin/ipfw add 16 deny udp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 17 deny udp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1
/sbin/ipfw add 18 deny udp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 19 deny udp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1
/sbin/ipfw add 20 deny tcp from any to not me 443,6667 via rl1
/sbin/ipfw add 21 deny tcp from any 443,6667 to not me via rl1
/sbin/ipfw add 22 deny tcp from not me to any 443,6667 via rl1
/sbin/ipfw add 23 deny tcp from not me 443,6667 to any via rl1
/sbin/ipfw add 24 deny udp from any to not me 443,6667 via rl1
/sbin/ipfw add 25 deny udp from any 443,6667 to not me via rl1
/sbin/ipfw add 26 deny udp from not me to any 443,6667 via rl1
/sbin/ipfw add 27 deny udp from not me 443,6667 to any via rl1

/sbin/ipfw add 40 check-state
/sbin/ipfw add 41 allow all from 10.1.0.0/23 to any via rl1 setup limit dst-port 10
/sbin/ipfw add 42 allow all from any to 10.1.0.0/23 via rl1 setup limit dst-port 10

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Что за надписи непонятные??"
Сообщение от Фтвкуо Искать по авторуВ закладки on 29-Авг-04, 18:23  (MSK)
А ettercap кстати, выдает следуещее - только каждый раз разные порты

10.1.0.74:1413    <-->    125.34.62.58:445   x OPENINGx microsoft- xx 0.0.0.0:302     <-->  66.252.134.100:113   x        x auth       xx 0.0.0.0:568     <-->  66.252.134.100:113   x        x auth       xx 0.0.0.0:106     <-->  66.252.134.100:113   x        x pop3pw     xx 0.0.0.0:457     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:38      <-->    141.222.1.60:113   x        x rap        xx 0.0.0.0:825     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:221     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:623     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:472     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:318     <-->    141.222.1.60:113   x        x auth       xx

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Что за надписи непонятные??"
Сообщение от Андрей Искать по авторуВ закладки(??) on 02-Сен-04, 00:57  (MSK)
Ну разве никто не знает что это хоть за адреса 0.0.0.0???
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру