форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Что за надписи непонятные??"
Сообщение от Andrej (??) on 16-Авг-04, 13:03  (MSK)
в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но  в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Что за надписи непонятные??"
Сообщение от denn (??) on 17-Авг-04, 12:41  (MSK)
>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но  в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика? решил проблему?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Что за надписи непонятные??"
	Сообщение от Андрей (??) on 20-Авг-04, 12:28  (MSK)
	Нет, увы.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Что за надписи непонятные??"
	Сообщение от Chris (??) on 20-Авг-04, 12:32  (MSK)
	а не дос атака ли это? посмотри netstat -na сколько коннектов?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Что за надписи непонятные??"
	Сообщение от temny (ok) on 20-Авг-04, 14:04  (MSK)
	>а не дос атака ли это? >посмотри netstat -na >сколько коннектов? Может попробовать двинуться в направлении ipfw a 100 deny log all from any to any iplen 1515-65535 или что-то вроде этого и далее смотреть в логи.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Что за надписи непонятные??"
Сообщение от screepah (??) on 20-Авг-04, 15:57  (MSK)
>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) флудят тебя смотри кто и что и потом патчся
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Что за надписи непонятные??"
	Сообщение от Андрей (??) on 24-Авг-04, 00:12  (MSK)
	Нашел я причину пользуясь ettercap. Пару пользователей, заражены как понимаю червями, и шлют кучу траффика на 137 и 445 порты. Когда они в онлайне - все падает. Я их блокирую через arp ( на сервере статическая таблица), в rc.firewall блокирую 137 и 445 порты во всех направлениях на всех интерфейсах, тем не менее как только они включают компьютеры, все виснет, хотя когда я удаляю из базы их маки, интернет и сеть у них не работает. На внутреннем интерфейсе у меня сидит bandwidthd, он фиксирует прохождение траффика в размере 80 MBPS, через сетевую карту, смотрящую в сеть. Ниже прилагаются файлы конфигураций, может сдесь чего не досмотрел??? rc.firewall: /sbin/ipfw -f flush /sbin/ipfw add 1 check-state #Razresaem vsio cerez lo0 /sbin/ipfw add 2 allow all from any to any via lo0 #Zaprescajem prohozdenije "opasnih icmp fragmentirovannyh paketov" /sbin/ipfw add 3 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 /sbin/ipfw add 4 deny icmp from any to any frag ##################################################### #Zaprety /sbin/ipfw add 6 deny all from any to any 135,137,139,79,445 via rl0 /sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0 /sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1 /sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1 ##################################################### /sbin/ipfw add 10 divert natd all from any to any via rl1 ##################################################### /sbin/ipfw add 17 allow icmp from any to any /sbin/ipfw add 19 allow udp from any to me 53                                   /sbin/ipfw add 20 allow udp from me 53 to any /sbin/ipfw add 21 allow udp from any 53 to me /sbin/ipfw add 22 allow udp from me to any 53 /sbin/ipfw add 23 allow all from any to any via rl0 #####################################################       ну а дальше уже пошли трубы...., что не есть актуально. еще на сервере есть преобразование внутренних адресов во внешние, которое осуществляется так: natd.conf interface rl1 use_sockets yes redirect_address 10.1.0.1 213.226.189.1 .................       понимаю, что способ не очень хорош, а как иначе "навязать" внутренним адресам, при выходе в инет внешний? Может в этом есть доля проблемы?????
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Что за надписи непонятные??"
	Сообщение от tiv on 24-Авг-04, 14:13  (MSK)
	>/sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0 > >/sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1 > >/sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1 Вместо all, tcp или udp поставь, зависит от порта
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Что за надписи непонятные??"
	Сообщение от Андрей (??) on 24-Авг-04, 19:07  (MSK)
	А почему ALL нехорошо, вроде это описывает все типы протоколов, как написано в мануале???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Что за надписи непонятные??"
	Сообщение от tiv on 25-Авг-04, 09:32  (MSK)
	Не все  протоколы  имеют порты, вот что говорит ipfw по этому поводу ipfw: only TCP and UDP protocols are valid with port specifications соответственно твои правила с deny all не выполняются
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Что за надписи непонятные??"
	Сообщение от Andrej (??) on 25-Авг-04, 19:17  (MSK)
	Понятно, большое спасибо. Нашел я еще одну проблему - через 6667 порт ( мирк ) несколько клиентов открывают по 5000 соединений в секунду на неизвестные хосты. Как решить эту проблему, ведь порт 6667 не запретить - все пользуются мирком? Может можно как-нибудь установить лимит скажем в 10 подключений именно с конкретных адресов; на конкретные порты, скажем 6667 не более 10 подключений, а все остальные - не более 30? ip в сети - 10.1.0.X, subnet mask 255,255,254,0
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Что за надписи непонятные??"
	Сообщение от Andrej (??) on 27-Авг-04, 13:16  (MSK)
	Ну подскажите хоть кто-нибудь, сейчас уже и 443 порт флудят только с внешних ип неизвестных на неизвестные...??? прописал такие правила - а ничего вообще с ними не работает? Ну что я неправильно прописал??? /sbin/ipfw add 12 deny tcp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1 /sbin/ipfw add 13 deny tcp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1 /sbin/ipfw add 14 deny tcp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1 /sbin/ipfw add 15 deny tcp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1 /sbin/ipfw add 16 deny udp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1 /sbin/ipfw add 17 deny udp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1 /sbin/ipfw add 18 deny udp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1 /sbin/ipfw add 19 deny udp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1 /sbin/ipfw add 20 deny tcp from any to not me 443,6667 via rl1 /sbin/ipfw add 21 deny tcp from any 443,6667 to not me via rl1 /sbin/ipfw add 22 deny tcp from not me to any 443,6667 via rl1 /sbin/ipfw add 23 deny tcp from not me 443,6667 to any via rl1 /sbin/ipfw add 24 deny udp from any to not me 443,6667 via rl1 /sbin/ipfw add 25 deny udp from any 443,6667 to not me via rl1 /sbin/ipfw add 26 deny udp from not me to any 443,6667 via rl1 /sbin/ipfw add 27 deny udp from not me 443,6667 to any via rl1 № /sbin/ipfw add 40 check-state /sbin/ipfw add 41 allow all from 10.1.0.0/23 to any via rl1 setup limit dst-port 10 /sbin/ipfw add 42 allow all from any to 10.1.0.0/23 via rl1 setup limit dst-port 10
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Что за надписи непонятные??"
	Сообщение от Фтвкуо on 29-Авг-04, 18:23  (MSK)
	А ettercap кстати, выдает следуещее - только каждый раз разные порты 10.1.0.74:1413    <-->    125.34.62.58:445   x OPENINGx microsoft- xx 0.0.0.0:302     <-->  66.252.134.100:113   x        x auth       xx 0.0.0.0:568     <-->  66.252.134.100:113   x        x auth       xx 0.0.0.0:106     <-->  66.252.134.100:113   x        x pop3pw     xx 0.0.0.0:457     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:38      <-->    141.222.1.60:113   x        x rap        xx 0.0.0.0:825     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:221     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:623     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:472     <-->    141.222.1.60:113   x        x auth       xx 0.0.0.0:318     <-->    141.222.1.60:113   x        x auth       xx
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Что за надписи непонятные??"
	Сообщение от Андрей (??) on 02-Сен-04, 00:57  (MSK)
	Ну разве никто не знает что это хоть за адреса 0.0.0.0???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.