Firewall Suse

[mikke]

salve,

ho un problemino un po' complesso.

mi collego a internet da un adattatore wireless USB D-Link DWL-G132 che ha come gateway un router Alice w-gate.
nel router ho attivato il servizio NAPT per le porte TCP e UDP che usa amule (4662 4672 4665) e le stesse porte sono state abilitate nella zona esterna del firewall.
Ho la Suse 10.2 e il dmesg mi da' in continuzazione segnalazioni su segnalazioni dal firewall.

qualcuno di voi mi aiuta a decifrarle? alcuni IP di destinazione corrispondono a siti veri e propri di cui io non so nenanche l'esistenza.

vi copio una piccola parte delle centinaia di righe di segalazione.
come si può vedere, alcuni sono errori che non sembrano rilevanti, altri proprio non li capisco.
ovvio che se disattivo il FW le segnalazioni spariscono

qualcuno prova a vedere se ho condivisioni windows o cos'altro?

SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=151.55.100.40 DST=192.168.1.3 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=54608 DF PROTO=TCP SPT=2950 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A00103030301010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=82.59.137.108 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=56258 DF PROTO=TCP SPT=1337 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=82.84.207.237 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=23120 DF PROTO=TCP SPT=4281 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204059601010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=84.220.233.2 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=955 DF PROTO=TCP SPT=4401 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204059601010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=81.208.83.213 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=27926 DF PROTO=TCP SPT=34602 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=85.18.14.46 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=40120 DF PROTO=TCP SPT=39641 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=81.62.225.218 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=11894 DF PROTO=TCP SPT=3810 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204059801010402)
SFW2-INext-DROP-DEFLT IN=wlan0 OUT= MAC=01:00:5e:00:00:01:00:03:6f:11:3a:71:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=15742 DF PROTO=2
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=84.220.211.186 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=37152 DF PROTO=TCP SPT=3796 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204059601010402)
SFW2-INext-ACC-TCP IN=wlan0 OUT= MAC=00:11:95:f8:e1:6e:00:03:6f:11:3a:71:08:00 SRC=87.4.21.102 DST=192.168.1.3 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=3675 DF PROTO=TCP SPT=2421 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204055001010402)
SFW2-OUT-ERROR IN= OUT=wlan0 SRC=192.168.1.3 DST=84.165.215.227 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=44986 DF PROTO=TCP SPT=10909 DPT=4662 WINDOW=365 RES=0x00 ACK FIN URGP=0



ciao

[MrAsd]

Se guardi bene sono quasi tutti tentativi di connessione verso la porta 4662 (emule? scan con ip spoofati?)
Mentre se guardi l'ultimo è un errore verso una tua connessione in uscita verso 84.165.215.227
Per quanto riguarda invece quel SFW2-INext-DROP-DEFLT non saprei ma sembra un time-out.

Se vuoi veramente vedere se hai dei "buchi" a livello di porte o di condivisioni dovresti provare con siti come questo:https://www.grc.com/x/ne.dll?bh0bkyd2

[mikke]

Quote:

Originariamente inviato da MrAsd

Se guardi bene sono quasi tutti tentativi di connessione verso la porta 4662 (emule? scan con ip spoofati?)
Mentre se guardi l'ultimo è un errore verso una tua connessione in uscita verso 84.165.215.227
Per quanto riguarda invece quel SFW2-INext-DROP-DEFLT non saprei ma sembra un time-out.

Se vuoi veramente vedere se hai dei "buchi" a livello di porte o di condivisioni dovresti provare con siti come questo:https://www.grc.com/x/ne.dll?bh0bkyd2

Sì c'è amule che "lavora"
e ci sono le relative porte attivate sul firewall e sul router come forwarding
ma sai che pensandoci bene mi sa che le righe che iniziano per SFW2-INext-ACC-TCP potrebbero essere una semplice notifica da parte del firewall dell'avvenuto forward verso un IP locale (infatti SRC cioe source è un IP che non conosco, probabilmente altro client emule, DPT sarà la destination porte che infatti è sempre la 4662 quella del mulo, ACC forse starà per accepted)
poi SFW2-INext-DROP-DEFLT stà a significare che un pacchetto è stato scartato (drop)...

mentre scrivevo mi sono fermato e sono andato a vedere le iptables, e la cosa mi si sta spiegando piano piano.
Quei messaggi hanno quei prefix che nelle iptables sono indicati, vedi il comando iptables -n -L

uhm! è da studiare bene, guarda per esempio la chain degli input dall'esterno, vedi che nella riga LOG ci sono i miei prefix

Chain input_ext (2 references)
target prot opt source destination
DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:4662 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4665
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4672
reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
LOG 0 -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG 0 -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
DROP 0 -- 0.0.0.0/0 0.0.0.0/0

cos'è quel limit: avg 3/min burst ??

avg=average?

piano piano ce la faccio a capirlo!! ma se qualcuno lo sa... che parli! ora o taccia per sempre!!

[MrAsd]

Quote:

Originariamente inviato da mikke

SFW2-INext-ACC-TCP potrebbero essere una semplice notifica da parte del firewall dell'avvenuto forward verso un IP locale (infatti SRC cioe source è un IP che non conosco, probabilmente altro client emule, DPT sarà la destination porte che infatti è sempre la 4662 quella del mulo, ACC forse starà per accepted)

Si esatto.

Quote:

cos'è quel limit: avg 3/min burst ??

avg=average?

Si. Con iptables puoi impostare dei limiti alla soddisfazione di una regola, una cosa che risulta molto utile proprio per limitare la frequenza e il numero di messaggi prodotti dal target LOG.

Quel "burst 5" indica il contatore di pacchetti da loggare e quel "avg 3/min" dopo quanto tempo il contatore viene decrementato di un'unita'.
In pratica: i primi 5 pacchetti che soddisfano la regola vengono presi in considerazione (quindi loggati) dopodichè tale regola di log verrà ignorata finché non saranni passati almeno circa 20 secondi ("avg 3/min" ossia in media un massimo di un pacchetto su 1/3 minuto) e questo a prescindere dal numero di pacchetti che saranno giunti nel frattempo e che avrebbero "matchato" la regola se non ci fossero stati limiti.

Inoltre ogni 20 secondi passati (a parte i primi 20) senza che nessun pacchetto soddisfi la regola, il contatore viene decrementato di un ulteriore unita' e quindi ogni 100 secondi (5*20 secondi) si torna alla situazione iniziale.

[mikke]

grazie mille MrAsd!!

ora capisco qualcosa in piu' rispetto a prima;

devo studiarmi bene iptables, però mi sento di dire che quei messaggi sono normali segnalazioni; non vedo niente di strano...

avevo un problema di disconnessioni dell'adattatore USB che mi credevo potesse essere riconducibile a quei log; invece non mi pare che le due cose possano essere collegate. Tra l'altro nelle ultime 48 ore nessuna disconnessione

ciao,