forum.lissyara.su

Добавлено: **2009-02-18 14:48:50**

Добрго всем времени суток!
Опят у меня нулевой последний раз сидел за консолью три года назад, над проблеммой бьюсь уже неделю гугление и чтение форума ответа так и недало.
Сполз с линукса на правильную ось.

В кратце конфигурация
ADSL ip-динамический в бридже воткнут в rl0 10.1.1.0/ 24 в локалку смотри rl1 - 192.168.0.0./24 инет ходит всё пингуется,IPFW - ненастроен (тренируюсь я ещё, курю мануалы). tun0 - nat.

У меня постоянно ползут непонятные для меня пакеты, на tun0 и rl0
По команде tcpdump -i rl1 всё отлично вижу как с клиента на сервер летают покеты ssh и не более.

По команде

Код: Выделить всё

tcpdump -i rl0

полный дурдом.

Код: Выделить всё

14:24:20.264051 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:21.014031 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

или такое

Код: Выделить всё

14:24:54.019185 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:54.462173 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:54.768166 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:24:55.519147 IP 192.168.1.8.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

тут более менее понятно

Код: Выделить всё

4:24:59.251472 PPPoE  [ses 0x3b0d] IP 92.49.170.133.64193 > ns.esoo.ru.domain:  30420+ PTR? 58.181.222.201.in-addr.arpa. (45)
14:24:59.266052 PPPoE  [ses 0x3b0d] IP ns.esoo.ru.domain > 92.49.170.133.64193:  30420 1/2/2 (154)

По команде tcpdump -i tun0 уже подругому но тоже всякая хрень, поидеи ничего не должнобыть, поправть меня если это не так
Адрес который вижу явно не мой

Код: Выделить всё

14:25:52.743897 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
14:25:52.743912 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36
14:25:54.241898 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:25:54.241921 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36
14:25:55.741866 IP 92.49.157.80.netbios-ns > 92.49.170.133.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
14:25:55.741888 IP 92.49.170.133 > 92.49.157.80: ICMP 92.49.170.133 udp port netbios-ns unreachable, length 36

Что это и откуда это, как с этим боротся. Мужики помогите - я уже четвертые сутки борюсь с этим голова винотом - уже не соображаю.

Добавлено: **2009-02-18 15:02:04**

непонятно, мопед же в режиме роутера?
или всетаки нет? 10.0 - это просто служебная для управления мопедом?
а вообще кто-то сканит нет-бивис?

Добавлено: **2009-02-18 15:02:18**

почитайте что такое broadcast, unicast.
так...для просветления

Добавлено: **2009-02-18 15:21:46**

Моя учётка на форуме ещё неактивна.
Модем стоит в бридже поднимает PPPoE 10.1.10/24 для управления модемом не более грешил на него.

Мне надо понять это проблемы провайдера или мои и могу ли я от этого мусора избавится.
To manefesto: обязательно изучу более подробно, но время очень поджимает с решение данного вопроса - дйте цель куда копать.
ДА я лох в сетях (пока) и в системе глубоко копатся начал всего вторую неделю, "ты скажи скак сыграть боярин, а мы вразумем"

Добавлено: **2009-02-18 15:49:30**

так....в чем твоя проблема то ?
то что тебе не понятно ?

Добавлено: **2009-02-18 15:51:33**

ваш ip какой ?
92.49.170.133 или 92.49.157.80

Добавлено: **2009-02-18 16:04:36**

to hizel на тот момент был 92.49.170.133 адрес динамический сейчас уже перегрузил машину адрес сменился
to manefesto непонятно (вернее незнаю) это нормальное явление или этого недолжно быть? по смыслу я должен видеть только свои запросы и ответы.

Добавлено: **2009-02-18 16:26:10**

если 92.49.157.80 провайдерское, то провайдер не режет эту каку

Добавлено: **2009-02-18 16:37:59**

Сенкс, и я того же склонен думать, буду пробовать переговорить с сапортом (хотя его нет и достучатся до них не реально или отыскивать тех кто криво свои мастдайки настроил - деревня тут).
Ещё один ламерский вопрос, как точно наверняка выяснить, что я не являюсь источником левых пакетов?

Добавлено: **2009-02-18 16:42:06**

Сенкс ламерский вопрос отменяется, -> man tcpdump.
Почему у меня подозрение, что это сосоеди по сети с 00:00 - активность повторяющихся пекетов с одних и тех же адресов снижается.

Добавлено: **2009-02-19 2:49:14**

зарежь его через ipfw

Код: Выделить всё

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

Добавлено: **2009-02-19 3:12:29**

zingel писал(а):зарежь его через ipfw
Код: Выделить всё
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

Да и вообще, правильно денаить всё по дефолту, а разрешать только то, что нужно.
ну, и от этих правил видеть tcpdump'ом на внешнем интерфейсе он эти пакеты не перестанет.

Добавлено: **2009-02-19 4:39:34**

Да и вообще, правильно денаить всё по дефолту, а разрешать только то, что нужно.

точно

хотя дискуссия насчет этого - целая философия

Добавлено: **2009-02-19 9:43:14**

Дополнение к данной теме, для такихже новичков как и я чтоб не пугались и не делали глаза по полтинику от увиденного на интерфейсе.

Цитирую кусок книги Торчинского Ф. Unix. Практическое пособие администратора.
стр.189
"Программа tcpdump показывает все пакеты, которые идут в сегменте сети, куда подключен сетевой интерфейс компьютера.Технически возможно заставить сетевой адаптер принимать и передавать подпрограммамболее высокого уровня все пакеты, которые впринципе проходят "мимо" сетевого адаптера. ........................В режиме, который называется беспорядочным (promiscous mode), сетевой адаптер принимает все пакеты, которые попадают в данный сегмент сети."
стр. 190
"Пограмма trafshow отличается от tcpdown тем, что работает в полноэкранном режиме. Она выдает сведения о всех текущих соединениях, проходящих через заданный интерфейс."

Да tcpdump видет всё, что ходит в сети и по моему незнанию увидев широковещательные рассылки решил, что всё это лезет ко мне, сбросив все правила ipfw они так же продолжали появлятся, одно интересно ведётся ли учёт этих запросов у провайдера - это тема моего дальнейшего исследования. За ночь, ну безработный я - времени вагон:) , активность рассылок снизилась - подозреваю, что у провайдера просто упало оборудование, вследствии чего многие немогли дозвонится (в том числе и я долго долбился) и засорять подсеть мусором. Поизучаю логи может получится определить от кого это и написать письмо администратору провайдера с просьбой помочь горе пользователям с открытыми портами netbios (а то как то дыряво-пять минут и я уже в чужой шаре), а так же попросить порезать, если это возможно, широковещательные запросы в подсети, т.к. некоторые лезут из соседних сетей - в частности был найден девайс пока неизвестный мне на чипсете LAVA от connexant который что то рассылает - похоже какая то статистика или ещё что то. По наблюдения через trafshow всё нормально и приемлимо.

Спасибо всем, кто помог и отзвался на данную проблемму, я даже не надеялсяю. что помогут, думал запинают:). И конечно же учить матчасть:). А создателям ресурса - огромное спасибо. Готов чем могу помогать в развитии.

p.s. О дальнейших результатах если они конечно будут отпишу дополнително.

forum.lissyara.su

tcpdump непонятно!

tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!

Re: tcpdump непонятно!