DSL traffic

Thu Apr 27 20:44:17 EEST 2006

On 2006-04-27 20:33, Pistiolis Konstantinos <kpistiolis at hellug.gr> wrote:
> Γεια σε όλους,
>
> Έστησα το crypto F200 (usb modem που δίνει η forthnet με την adsl in-a-box)
> το οποίο παρεμπιπτόντως δουλεύει μια χαρά.
> Σε debian unstable με 2.6.16 πυρήνα, αναγνώρισε αμέσως το μόντεμ και το
> μόνο
> που χρειάστηκε να κάνω ήταν να βγάλω το firmware από τον driver των Μ$win
> και να το βάλω στο /usr/local/lib/firmware
>
>
> Η απορία μου είναι ότι, όταν σήκωσα firewall άρχισε να πιάνει ένα σωρό
> πακέτα, επαναλλαμβανόμενα, εκ των οποίων κάποια φαίνεται να προέρχονται
> από τη forthnet.
> Μήπως είναι κάτι χρήσιμο για τη λειτουργία της σύνδεσής μου;
> Μήπως πρέπει να ανοίξω το λίγο firewall, ώστε κάποια πακέτα να φτάνουν
> κάπου (πού; pppd ???);
>
> Συγκεκριμένα αναφέρομαι στο:
> IN=ppp0 OUT= MAC= SRC=194.219.252.151 DST=224.0.0.1 LEN=28 TOS=0x00
> PREC=0xC0 TTL=1 ID=11346 PROTO=2
> που φτάνει κάθε 2 λεπτά:
> το nslookup λέει
> Όνομα:   bbras-ath-09L0.forthnet.gr
> Address:  194.219.252.151
> Μου μοιάζει ότι με αυτό ελέγχει ο peer ποια μόντεμ είναι ακόμα online
> Ξέρει κανένας;

Οχι ακριβώς...  http://en.wikipedia.org/wiki/IP_Multicast

> Από τα υπολοιπα πάντως γίνεται χαμός (15-30 το λεπτό). πχ.:
> IN=ppp0 OUT= MAC= SRC=62.1.125.182 DST=62.1.132.34 LEN=48 TOS=0x00
> PREC=0x00 TTL=126 ID=1289 DF PROTO=TCP SPT=3972 DPT=445 WINDOW=16384
> RES=0x00 SYN URGP=0
>
> IN=ppp0 OUT= MAC= SRC=62.56.62.47 DST=62.1.132.34 LEN=48 TOS=0x00
> PREC=0x00 TTL=116 ID=15365 DF PROTO=TCP SPT=1921 DPT=139 WINDOW=16384
> RES=0x00 SYN URGP=0
>
> και για να μην τα πολυλογώ, αν το DTP είναι η πόρτα, τότε έχω πακέτα για
> τις
> 139 (netbios), 445 (M$ naked CIFS), 4711, 32656, 40000, 1026, 1027, 1024
> κλπ.
> και το SRC αντιστοιχεί οπουδήποτε (dsl clients και διευθύνσεις ανά τον
> κόσμο)
>
> Χεχεχε, τόσο σκληρός είναι ο πραγματικός κόσμος;

Ναι, τόσο σκληρός.  Από log files του PF που είχα στο σπίτι εγώ φαινόταν
καθαρά ότι ο μέσος χρόνος από την ώρα που θα σηκωνόταν το tun0 interface
μέχρι να αρχίσει το port scanning ήταν λίγα δευτερόλεπτα.

> Σοβαρά τώρα, είναι φυσιολογικό αυτό;
> Αν έχει τόσα σκουπίδια δεν έχει νόημα να γίνονται log όλα τα κομμένα πακέτα
> του firewall. Και σίγουρα δεν θα πρέπει να τα πετάει όλα αυτά στην κονσόλα.

Γι αυτό στα Αληθινά Λειτουργικά(TM), τα κομμένα πακέτα καταγράφονται σε
μορφή pcap dump file, στο ``/var/log/pflog'', βλ.:

http://keramida.serverhive.com/weblog/archives/2004-12-28/switching-from-ipfilter-to-pf
http://keramida.serverhive.com/weblog/archives/2005-01-04/more-fun-with-the-pf9-firewall

> Τι κάνουμε σε τέτοιες περιπτώσεις; μπορώ να κάνω log ξεχωριστά αυτά που
> κόβει το firewall, ώστε να μη γεμίζει το syslog άχρηστη πληροφορία;

Ανάλογα το firewall.  Σε κάποια (όχι όμως όλα), μπορείς κάπως να
ρυθμίσεις με τι syslog level & facility θα καταγράφονται τα μηνύματα του
firewall.  Υστερα με ανάλογες ρυθμίσεις στο `/etc/syslog.conf' τα
στέλνεις όπου θέλεις.