Firewall explanation

Alexandros Kosiaris alex at noc.ntua.gr
Mon Oct 9 18:17:49 EEST 2006 

Θοδωρής Λύτρας wrote:
> Έχω SuSE 10.0 και έχω ενεργοποιημένο το firewall. Το μηχάνημα είναι 
> standalone: η σύνδεσή μου είναι μέσω modem με το δίκτυο και 192.168.0.4 είναι 
> η διεύθυνση που έχω δώσει στην κάρτα δικτύου, στην οποία συνδέω το laptop του 
> κολλητού μου αραιά και που.
> 
> Βλέπω οτι στο /var/log/firewall έχει πάρα πολλές γραμμές όπως αυτή:
> 
> Oct  9 16:11:11 equinox kernel: SFW2-INext-DROP-DEFLT-INV IN=modem0 OUT= MAC= 
> SRC=62.189.244.228 DST=62.74.162.73 LEN=719 TOS=0x00 PREC=0x00 TTL=50 ID=9050 
> DF PROTO=TCP SPT=80 DPT=42440 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0 OPT 
> (0101080A32B319AF0001ACB5)

Το παραπάνω είναι σχεδόν dump των headers του IP-πακέτου όπως έχει
εισέλθει στο μηχάνημα. Ειναι white space separated entries.
To 1o είναι το όνομα του rule ας πούμε χοντρικά. Μαντεύω τα
SFW2 (Suse Firewall) INext (INPUT from external) DROP-DEFLT( policy drop
 by default) να πετάει δηλαδή τα πακέτα που κάνουν match αυτό το rule.
Τα in,out είναι τα interfaces (πχ eth0,wlan0). To MAC είναι το ethernet
address , τα SRC,DST οι διευθύνσεις από όπου έρχεται και πάει το πακέτο.
H DST πρέπει να είναι η δικιά σου. Τα LEN,TOS,PREC,TTL,ID,DF,WINDOW και
τα λοιπά που δεν αναφερω είναι θέματα του IP πακέτου και δεν αξίζει τον
κόπο να τα εξηγώ . Θα ήταν καλό να τα διαβάσεις μόνος σου. Θα σταθώ στα
PROTO=TCP που σημαίνει TCP προτόκολλο και στα SPT,DPT που είναι οι θύρες
πηγής και προορισμού. Το παραπάνω συνοπτικά σημαίνει πως ο υπολογιστής
με IP: 62.189.244.228 (μια IP από Σουηδία) και από την πόρτα 80 (http)
έστειλε πακέτο στην πόρτα 422440 της IP 62.74.162.73 (η δικιά σου?) και
μπλοκαρίστηκε. Κατα πάσα πιθανότητα surfares στο web σε κάποιο site και
κάποιο πακέτο κόπηκε.

> 
> και επίσης πάρα πολλές όπως αυτή:
> 
> Oct  9 16:12:06 equinox kernel: SFW2-INint-DROP-DEFLT IN=eth0 OUT= MAC= 
> SRC=192.168.0.4 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=3 DF 
> PROTO=UDP SPT=5353 DPT=5353 LEN=87
> 
> Τονίζω οτι δεν είμαι σε lan, μόνο μέσω modem συνδεδεμένος στο internet.
> Θα ήθελα κάποιος να μου εξηγήσει χοντρικά τι σημαίνουν αυτές οι γραμμές.
> Υποθέτω οτι η πρώτη αφορά επιθέσεις από το δίκτυο προς το μηχάνημά μου, πακέτα 
> τα οποία κόβονται από το firewall - σωστά? Και αν κρίνω από τον αριθμό τους 
> (δεκάδες ανά ώρα σύνδεσης), επικρατεί πολύ χάος εκεί έξω...
> 
Μάλλον οχι όπως είδες πιο πάνω.
> Η δεύτερη όμως, η οποία επίσης επαναλαμβάνεται εκατοντάδες φορές σε όλο το 
> log, με τρομάζει. Μάλιστα η διευθυνση IP (DST=)224.0.0.251 είναι παντού η 
> ίδια. Μήπως κάτι έχει καταλάβει στον υπολογιστή μου και προσπαθεί να στείλει 
> πακέτα στη διεύθυνση αυτή???

Ειδικές διευθύνσεις που λέγονται multicast και χρησιμοποιούνται για να
στέλνονται πακέτα μαζικά. Χρησιμότατη υπηρεσία του IP. Δεν σου
επιτίθεται κανένας μην ανησυχείς. Εάν διαβάσεις τελικά TCP/IP θα τις
συναντήσεις.

> 
> Αν μπορεί κάποιος να με διαφωτίσει, θα ήμουν υπόχρεος...
> 
> Ευχαριστώ, 
> Θοδωρής Λύτρας
> 


-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5152 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20061009/c0399614/attachment.bin>

More information about the Linux-greek-users mailing list