-----BEGIN PGP SIGNED MESSAGE----- Saludos a todos: Estoy conectado al exterior mediante cable modem y en estos momentos, la dirección de red a la que me asigna el servidor DHCP es 217.216.188.0/22 He observado desde hace unos días que en en el proceso de logon de kde aparecen en la ventana de mensajes del sistema algunos que no comprendo. Editando el archivo messages he observado la presencia de registros de los que dejo una muestra: May 13 08:31:47 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:4f:23:87:7f:08:00 SRC=217.216.188.45 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=60500 PROTO=UDP SPT=1179 DPT=5000 LEN=40 May 13 08:31:49 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:50:bf:ee:b6:5e:08:00 SRC=217.216.190.95 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=11449 PROTO=UDP SPT=1067 DPT=5000 LEN=40 May 13 08:31:50 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:84:9e:3b:62:08:00 SRC=217.217.123.198 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=38083 PROTO=UDP SPT=3069 DPT=5000 LEN=40 May 13 08:31:56 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:4f:23:87:7f:08:00 SRC=217.216.188.45 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=61132 PROTO=UDP SPT=1179 DPT=5000 LEN=40 May 13 08:32:00 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:50:bf:ee:b6:5e:08:00 SRC=217.216.190.95 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=11922 PROTO=UDP SPT=1067 DPT=5000 LEN=40 May 13 08:32:01 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:84:9e:3b:62:08:00 SRC=217.217.123.198 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=38357 PROTO=UDP SPT=3069 DPT=5000 LEN=40 May 13 08:32:01 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:50:bf:d6:11:97:08:00 SRC=217.216.189.76 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=18242 PROTO=UDP SPT=3593 DPT=5000 LEN=40 May 13 08:32:07 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:4f:23:87:7f:08:00 SRC=217.216.188.45 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=61730 PROTO=UDP SPT=1179 DPT=5000 LEN=40 May 13 08:32:10 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:50:bf:ee:b6:5e:08:00 SRC=217.216.190.95 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=12429 PROTO=UDP SPT=1067 DPT=5000 LEN=40 ... ¿Podía alguien indicarme qué significan? ¿Qué proceso ha ocurrido y me está avisando?. Gracias. -----BEGIN PGP SIGNATURE----- Version: 2.6.3in Charset: noconv iQEVAwUBQKMbGZSkuF+Dl31ZAQH7uAf9FcKDPkWU3fdYUroWj8JfDMjo9tb92yE1 f2uojW2fBxhWryUOzMppJG2O53O9baZVJNqKXkAoIUDNCyiCQQrMBmuGmrYvTMJN avSx8NXc53pS8IsPECrDpYjhJiAimF9N0kV12/wVnV+E+ZBYSojRkkcJP3A3jBoF tQjJixhFx55CMQYdqRUr4ph9medlJ2yEc10UJJjD2Vn6QKgXKE/thAkUH9RC1ONH 6yhDT3YMnngdEUO/GYviG7Q+IRb13kfQte/pbuXj5VbEw4BOMOk4niPGFPqvkVIY ND9H1EiTCtke38NDqbAHnreMHpirZR2aAHQfl1s8ewj0aFbpDCJfHA== =KKDB -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- He observado el tráfico con tcpdump y parece ser que tenga algo que ver con tráfico multicast, puesto que ha registrado lo siguiente: 09:27:33.956753 cliente-217216189076.uBRSEC01.supercable.es.3593 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:38.624556 cliente-217216188045.uBRSEC01.supercable.es.1179 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:42.050353 cliente-217217123198.uBRsec01.supercable.es.ls3 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:43.932989 cliente-217216189076.uBRSEC01.supercable.es.3593 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:48.525270 cliente-217216188045.uBRSEC01.supercable.es.1179 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:52.042951 cliente-217217123198.uBRsec01.supercable.es.ls3 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:53.935184 cliente-217216189076.uBRSEC01.supercable.es.3593 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 09:27:58.927421 cliente-217216188045.uBRSEC01.supercable.es.1179 > ALL-SYSTEMS.MCAST.NET.commplex-main: udp 32 Aun así, sig0 sin comprender lo que ha ocurrido en el proceso de inicio de sesión, además de tener ahora unas dudas adicionales, si es que es cierta la idea del tráfico multicast: - - ¿Por qué detecto al cliente 217.217.123.198, que está fuera de mi subred? ¿Tiene que ver con un trafico de difusión en una jerarquía superior? - -¿Debe ser grande su incidencia en el ancho de banda disponible para mi host? Gracias de nuevo. El Jue 13 May 2004 08:52, Luis Torres escribió:
Saludos a todos:
Estoy conectado al exterior mediante cable modem y en estos momentos, la dirección de red a la que me asigna el servidor DHCP es 217.216.188.0/22
He observado desde hace unos días que en en el proceso de logon de kde aparecen en la ventana de mensajes del sistema algunos que no comprendo. Editando el archivo messages he observado la presencia de registros de los que dejo una muestra: May 13 08:31:47 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:4f:23:87:7f:08:00 SRC=217.216.188.45 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=60500 PROTO=UDP SPT=1179 DPT=5000 LEN=40 May 13 08:31:49 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:50:bf:ee:b6:5e:08:00 SRC=217.216.190.95 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=11449 PROTO=UDP SPT=1067 DPT=5000 LEN=40 May 13 08:31:50 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:30:84:9e:3b:62:08:00 SRC=217.217.123.198 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=38083 PROTO=UDP SPT=3069 DPT=5000 LEN=40 ... -----BEGIN PGP SIGNATURE----- Version: 2.6.3in Charset: noconv
iQEVAwUBQKMnGpSkuF+Dl31ZAQHU4Qf/VgB831RwbA4Qxofoj9KHvUW2yBEhxyZY 9gN1R8u8WGv/xVqgtXRwwRUtooP+9xQJkFL1pktPYyIoFoiH/6cBBWlNzcm6Rb5u EP6Z5PThtyMPxGCPsIDuqR894/d2SYInQ60yBjW/1YZdZw95MOPvIYc0ZGdeO2QU q2svB2VITkckwYinL3sDwc1sBmFi0j9pNywahxNeogpFS4+6nItHW+i5OcJrEeZa TbtevgD+yRBqGbjQsAtAAr85ZGLRD2wAzgin9nxtRV+TLDyVczvHw8VB2U/Cum3V j4XxdXapmZheuPgegOuvFlABqwVkLHMkpafL4nmQMTOC7PI6q/rrhw== =J38v -----END PGP SIGNATURE-----
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Jueves, 13 de Mayo de 2004 08:52, Luis Torres escribió:
Estoy conectado al exterior mediante cable modem y en estos momentos, la dirección de red a la que me asigna el servidor DHCP es 217.216.188.0/22
He observado desde hace unos días que en en el proceso de logon de kde aparecen en la ventana de mensajes del sistema algunos que no comprendo. Editando el archivo messages he observado la presencia de registros de los que dejo una muestra: May 13 08:31:47 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT=
* Puede ser varias cosas, servidores IIS infectados, identifica el rango de red y habilita en /etc/sysconfig/SuSEfirewall2 FW_CUSTOMRULES="/etc/sysconfig/SuSEfirewall2-custom" y añade la regla en SuSEfirewall2-custom iptables -A INPUT -d red/mask -j DROP * Verifica la tabla arp, mira que no tengas muchas entradas (cientos) con cat /proc/net/arp con ip iguales y mac distintas. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAo22tAXFL65CppEIRAhmVAJ4uXbwE5pBFOnk67YIHdLg6LNR4KACfasFJ u+IYHb+p2hnY026itDm735g= =y80B -----END PGP SIGNATURE-----
El Jue 13 May 2004 14:44, jose maria escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ...
los que dejo una muestra: May 13 08:31:47 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT=
* Puede ser varias cosas, servidores IIS infectados, identifica el rango de red y habilita en /etc/sysconfig/SuSEfirewall2 FW_CUSTOMRULES="/etc/sysconfig/SuSEfirewall2-custom"
y añade la regla en SuSEfirewall2-custom iptables -A INPUT -d red/mask -j DROP OK. Entonces...¿tendré que estar pendiente de los cambios de ubicación en otras subredes, no? Lo digo porque creo que ya he estado alojado dentro de otra distinta que no agrupa la mascara (217.217.x.0/22). ¿Pueden hacerlo así, tal cual, desde la administración de la red de cable?
* Verifica la tabla arp, mira que no tengas muchas entradas (cientos) con cat /proc/net/arp con ip iguales y mac distintas.
En la citada tabla sólo existe la que, creo, es la dirección del enrutador : IP address HW type Flags HW address Mask Device 217.216.188.1 0x1 0x2 00:05:00:E2:F9:C2 * eth0
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Jueves, 13 de Mayo de 2004 16:45, Luis Torres escribió:
OK. Entonces...¿tendré que estar pendiente de los cambios de ubicación en otras subredes, no? Lo digo porque creo que ya he estado alojado dentro de otra distinta que no agrupa la mascara (217.217.x.0/22). ¿Pueden hacerlo así, tal cual, desde la administración de la red de cable?
* Si son ips de tu rango, el problema es que en cable compartes medio fisico, el cable desde la arqueta a varios edificios, del orden de 10 de tus vecinos compartis el mismo cable, con lo que comporta de problema de seguridad, windows lanzando llamadas de broadcast, etc, etc, asi que deniega broadcast, y si el proveedor lo permite prueba a denegar sourcequench e icmp. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD4DBQFAo8CqAXFL65CppEIRAmcyAJ9b48nJ9qAfSJP+aRhAHvqJU7m5QACYzQOK IGogfMX1cDAtfxhw1ZRtKg== =tU/h -----END PGP SIGNATURE-----
Gracias Jose María. He seguido buscando por ahí, y he encontrado en otra lista SuSe algo similar a lo que me ocurría a mí, y sin ánimo de dar la brasa con el asunto, hago referencia por si algún otro se encuentra en algún momento con algo parecido. la dirección es: http://lists.suse.com/archive/suse-linux-e/2003-Jun/1779.html Es interesante porque aparece un enlace al RFC 1112 que es aclaratorio de parte de lo que ocurre. Después de varios artículos, respuestas en foros y demás vistazos, creo tener claro lo siguiente: (pongo un ejemplo del archivo messages) May 14 11:53:41 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:4f:4e:02:1f:d2:08:00 SRC=217.217.121.78 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=29083 PROTO=UDP SPT=1147 DPT=5000 LEN=40 - La aparición del prefijo 01:00:5E en el campo MAC indica tráfico multicast - SRC=217.217.121.78 es una de los host de la subred dentro del grupo multicast - la dirección 224.0.0.1 es una dirección de retransmisión multicast a todos los host de la subred que lo admitan -TTL=50 indica, al ser menor que 64, un tráfico multicast que no va a superar los enrutadores de la organización (supercable en este caso) Y ahora la hipótesis: - MI firewall ha impedido el tráfico de difusión multicast originado desde el host 217.217.1321.78 (la duda a eso es que cuando corro tcpdump lee el tráfico hacia ALL-SYSTEMS.MCAST.NET -> (o sea, hacia 224.0.0.1) , ¿por qué?) ¿Será así?. Si alguien lo tiene más claro y se quiere entretener, le agradecería su opinión. Saludos a todos. El Jue 13 May 2004 20:38, jose maria escribió: ...
* Si son ips de tu rango, el problema es que en cable compartes medio fisico, el cable desde la arqueta a varios edificios, del orden de 10 de tus vecinos compartis el mismo cable, con lo que comporta de problema de seguridad, windows lanzando llamadas de broadcast, etc, etc, asi que deniega broadcast, y si el proveedor lo permite prueba a denegar sourcequench e icmp.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux)
iD4DBQFAo8CqAXFL65CppEIRAmcyAJ9b48nJ9qAfSJP+aRhAHvqJU7m5QACYzQOK IGogfMX1cDAtfxhw1ZRtKg== =tU/h -----END PGP SIGNATURE-----
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Viernes, 14 de Mayo de 2004 12:11, Luis Torres escribió:
May 14 11:53:41 Flych kernel: SuSE-FW-ILLEGAL-TARGET IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:4f:4e:02:1f:d2:08:00 SRC=217.217.121.78 DST=224.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=29083 PROTO=UDP SPT=1147 DPT=5000 LEN=40
- La aparición del prefijo 01:00:5E en el campo MAC indica tráfico multicast - SRC=217.217.121.78 es una de los host de la subred dentro del grupo multicast - la dirección 224.0.0.1 es una dirección de retransmisión multicast a todos los host de la subred que lo admitan -TTL=50 indica, al ser menor que 64, un tráfico multicast que no va a superar los enrutadores de la organización (supercable en este caso)
* Osea el proveedor viendo quien esta en linea y asignando ip si fuera necesario y el resto de vecinos.
Y ahora la hipótesis:
- MI firewall ha impedido el tráfico de difusión multicast originado desde el host 217.217.1321.78 (la duda a eso es que cuando corro tcpdump lee el tráfico hacia ALL-SYSTEMS.MCAST.NET -> (o sea, hacia 224.0.0.1) , ¿por qué?)
* Podras impedir el trafico desde tu maquina hacia ->> , o descartar el que te llegue desde <<- , pero no podras impedir el del resto de maquinas en tu misma linea-red, ni que te lleguen a ti. * Compartes el medio fisico con los demas, es como si estuvieras en una red de las antiguas, serie, de 10MB con el cable redondo tipo Tv, en este caso en T, de hecho es esta la configuracion real, las que yo he visto de ONO por ejemplo, y tcpdump o cualquier sniffer que quiera recoger trafico no dirigido a su interfaz pone la tarjeta en modo promiscuo, por tanto lo que pasa por el medio fisico, el cable compartido, lo recoge sea cual sea su destino. * Cambia el nivel de log , en /etc/sysconfig/syslog , man klogd para distintas opciones, cat /proc/kmsg para ver los mensajes por consola. * Envia los mensajes solo a la lista, si uno no se da cuenta entra en la misma espiral. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFApN5+AXFL65CppEIRAsfmAKCFn+yhIXXZCa3/7nZTKgSFVvin9ACghAD3 YyDSkUGoLVAZ4Sun/IUqh7Y= =O7LW -----END PGP SIGNATURE-----
participants (2)
-
jose maria -
Luis Torres