Esto esta sacado de un cortafuegos del w.... 06/10/2003 21:11:57 Puerto escaneado 127.0.0.1 TCP(1470) TCP(1899) 06/10/2003 21:11:57 Petición de conexión 127.0.0.1 TCP(1470) 06/10/2003 21:11:44 Petición de conexión 127.0.0.1 TCP(1899) 06/10/2003 21:11:27 Ataque 'My address' 127.0.0.1 06/10/2003 21:01:38 Puerto escaneado 127.0.0.1 TCP(1258) TCP(1899) 06/10/2003 20:51:26 Puerto escaneado 127.0.0.1 TCP(1727) TCP(1470) Esta es la entrada de bloqueos que hace el mismo desde la ip publica, como vemos ataca a unos puertos especificos, de todo el listado solo hay estos diferentes. La verdad es que no hace mucho que pasa esto en el w..... Puede que sea lo que se comento de que los ultimos parches del w.... tanto en clientes como en servidores esten haciendo de las suyas. saludos -----Mensaje original----- De: Carlos E. R. Enviado el: lunes, 06 de octubre de 2003 1:42 Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] error en el firewell de suse 8.2 El 2003-10-05 a las 14:46, Rafa Grimán escribió:
Hay gente que se lía y pone la EXT como INT y al revés, es cuando da esos errores. En tu caso, obviamente, este no es el problema :)
Exacto. Cuando alguien comentó lo de que estaba recibiendo paquetes marcianos, lo miré a ver que significaba, que no lo recordaba (está en el faq no oficial de Togan), pero no le di importancia. Por casualidad, vi pasar una entrda en mi log de un "marciano", y me puse a investigar más. En un año, sólo los he recibido el 7 de septiembre, el 10, 11, 16, 17, 19, el 1 de octubre, el 4, y el 5. Conservo como un año de logs, y sólo lo he visto esos dias - y no he cambiado la configuración de mi firewall ni nada. Y también he visto algún mensaje en la lista inglesa sobre lo mismo, por las mismas fechas. Y todos tenemos distintos proveedores, en distintos paises... y sin embargo, parece que están apareciendo ahora. Lo único que no he mirado es si he puesto algún parche por esas fechas... quizás el del ssh. No es ningún problema, al menos para lo que usamos linux, porque el kernel los elimina, aunque nos avisa: Oct 4 13:46:21 nimrodel kernel: martian source 212.166.94.23 from 127.0.0.1, on dev ppp0 Oct 4 13:46:21 nimrodel kernel: ll header: 45:08:00:28 O sea, mensaje entrante, por el modem, originado en 127.0.0.1 y con destino a mi IP del momento. O sea, "remite" falso. La segunda linea permitiría averiguar el origen real en una intranet... pero a mi me llegan por el modem. -- Saludos Carlos Robinson