tcpdump непонятно!

[Gendos_01]

Добрго всем времени суток!
Опят у меня нулевой последний раз сидел за консолью три года назад, над проблеммой бьюсь уже неделю гугление и чтение форума ответа так и недало.
Сполз с линукса на правильную ось.

В кратце конфигурация
ADSL ip-динамический в бридже воткнут в rl0 10.1.1.0/ 24 в локалку смотри rl1 - 192.168.0.0./24 инет ходит всё пингуется,IPFW - ненастроен (тренируюсь я ещё, курю мануалы). tun0 - nat.

У меня постоянно ползут непонятные для меня пакеты, на tun0 и rl0
По команде tcpdump -i rl1 всё отлично вижу как с клиента на сервер летают покеты ssh и не более.

По команде

Код: Выделить всё

tcpdump -i rl0

полный дурдом.

Код: Выделить всё

14:24:20.264051 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:21.014031 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

или такое

Код: Выделить всё

14:24:54.019185 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:54.462173 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:54.768166 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:55.519147 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

тут более менее понятно

Код: Выделить всё

4:24:59.251472 PPPoE  [ses 0x3b0d] IP 92.49.170.133.64193 > ns.esoo.ru.domain:  30420+ PTR? 58.181.222.201.in-addr.arpa. (45)
14:24:59.266052 PPPoE  [ses 0x3b0d] IP ns.esoo.ru.domain > 92.49.170.133.64193:  30420 1/2/2 (154)

По команде tcpdump -i tun0 уже подругому но тоже всякая хрень, поидеи ничего не должнобыть, поправть меня если это не так
Адрес который вижу явно не мой

Код: Выделить всё

14:25:52.743897 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
14:25:52.743912 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36
14:25:54.241898 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:25:54.241921 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36
14:25:55.741866 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:25:55.741888 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36

Что это и откуда это, как с этим боротся. Мужики помогите - я уже четвертые сутки борюсь с этим голова винотом - уже не соображаю.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

непонятно, мопед же в режиме роутера?
или всетаки нет? 10.0 - это просто служебная для управления мопедом?
а вообще кто-то сканит нет-бивис?

[manefesto]

почитайте что такое broadcast, unicast.
так...для просветления

[Gendos_01]

Моя учётка на форуме ещё неактивна.
Модем стоит в бридже поднимает PPPoE 10.1.10/24 для управления модемом не более грешил на него.

Мне надо понять это проблемы провайдера или мои и могу ли я от этого мусора избавится.
To manefesto: обязательно изучу более подробно, но время очень поджимает с решение данного вопроса - дйте цель куда копать.
ДА я лох в сетях (пока) и в системе глубоко копатся начал всего вторую неделю, "ты скажи скак сыграть боярин, а мы вразумем"

[manefesto]

так....в чем твоя проблема то ?
то что тебе не понятно ?

[hizel]

ваш ip какой ?
92.49.170.133 или 92.49.157.80

[Gendos_01]

to hizel на тот момент был 92.49.170.133 адрес динамический сейчас уже перегрузил машину адрес сменился
to manefesto непонятно (вернее незнаю) это нормальное явление или этого недолжно быть? по смыслу я должен видеть только свои запросы и ответы.

[hizel]

если 92.49.157.80 провайдерское, то провайдер не режет эту каку

[Gendos_01]

Сенкс, и я того же склонен думать, буду пробовать переговорить с сапортом (хотя его нет и достучатся до них не реально или отыскивать тех кто криво свои мастдайки настроил - деревня тут).
Ещё один ламерский вопрос, как точно наверняка выяснить, что я не являюсь источником левых пакетов?

[Gendos_01]

Сенкс ламерский вопрос отменяется, -> man tcpdump.
Почему у меня подозрение, что это сосоеди по сети с 00:00 - активность повторяющихся пекетов с одних и тех же адресов снижается.

[zingel]

зарежь его через ipfw

Код: Выделить всё

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

[eugene]

зарежь его через ipfw

Код: Выделить всё

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

Да и вообще, правильно денаить всё по дефолту, а разрешать только то, что нужно.
ну, и от этих правил видеть tcpdump'ом на внешнем интерфейсе он эти пакеты не перестанет.

[paradox]

Да и вообще, правильно денаить всё по дефолту, а разрешать только то, что нужно.

точно

хотя дискуссия насчет этого - целая философия

[Gendos_01]

Дополнение к данной теме, для такихже новичков как и я чтоб не пугались и не делали глаза по полтинику от увиденного на интерфейсе.

Цитирую кусок книги Торчинского Ф. Unix. Практическое пособие администратора.
стр.189
"Программа tcpdump показывает все пакеты, которые идут в сегменте сети, куда подключен сетевой интерфейс компьютера.Технически возможно заставить сетевой адаптер принимать и передавать подпрограммамболее высокого уровня все пакеты, которые впринципе проходят "мимо" сетевого адаптера. ........................В режиме, который называется беспорядочным (promiscous mode), сетевой адаптер принимает все пакеты, которые попадают в данный сегмент сети."
стр. 190
"Пограмма trafshow отличается от tcpdown тем, что работает в полноэкранном режиме. Она выдает сведения о всех текущих соединениях, проходящих через заданный интерфейс."

Да tcpdump видет всё, что ходит в сети и по моему незнанию увидев широковещательные рассылки решил, что всё это лезет ко мне, сбросив все правила ipfw они так же продолжали появлятся, одно интересно ведётся ли учёт этих запросов у провайдера - это тема моего дальнейшего исследования. За ночь, ну безработный я - времени вагон:) , активность рассылок снизилась - подозреваю, что у провайдера просто упало оборудование, вследствии чего многие немогли дозвонится (в том числе и я долго долбился) и засорять подсеть мусором. Поизучаю логи может получится определить от кого это и написать письмо администратору провайдера с просьбой помочь горе пользователям с открытыми портами netbios (а то как то дыряво-пять минут и я уже в чужой шаре), а так же попросить порезать, если это возможно, широковещательные запросы в подсети, т.к. некоторые лезут из соседних сетей - в частности был найден девайс пока неизвестный мне на чипсете LAVA от connexant который что то рассылает - похоже какая то статистика или ещё что то. По наблюдения через trafshow всё нормально и приемлимо.

Спасибо всем, кто помог и отзвался на данную проблемму, я даже не надеялсяю. что помогут, думал запинают:). И конечно же учить матчасть:). А создателям ресурса - огромное спасибо. Готов чем могу помогать в развитии.

p.s. О дальнейших результатах если они конечно будут отпишу дополнително.