Mailinglist Archive: opensuse-es (629 mails)
| < Previous | Next > |
Re: [opensuse-es] Registro del cortafuegos (paquetes entre redes no conectadas)
- From: Camaleón <noelamac@xxxxxxxxx>
- Date: Tue, 5 May 2009 23:13:35 +0200
- Message-id: <20090505211335.GA1442@xxxxxxxxxxx>
El 2009-05-03 a las 09:59 +0200, Lluis Martínez escribió:
Traigo nuevas, que no buenas :-P
Al final he podido hacerme con un "hub-hub" (un concentrador real) mini
que me dieron con el router adsl allá por el año de la parrala, y lo he
podido capturar.
Como esto ya es un poco OT, pongo en este correo sólo las cabeceras del
resultado del wireshark y enlazo al log completo que he puesto en
pastebin:
***
No. Time Source Destination
Protocol Info
60 2009-05-03 12:48:24.298838 192.168.0.13
Broadcast ARP Who has 192.168.0.5? Tell 192.168.0.13
No. Time Source Destination
Protocol Info
61 2009-05-03 12:48:24.298855 Supermic_86:e8:c3
192.168.0.13 ARP 192.168.0.5 is at 00:30:48:86:e8:c3
No. Time Source Destination
Protocol Info
62 2009-05-03 12:48:24.299835 172.16.0.30
192.168.0.5 TCP clp > netbios-ssn [SYN] Seq=0 Win=65535
Len=0 MSS=1460
No. Time Source Destination
Protocol Info
63 2009-05-03 12:48:24.299841 192.168.0.5
172.16.0.30 TCP netbios-ssn > clp [SYN, ACK] Seq=0 Ack=1
Win=5840 Len=0 MSS=1460
No. Time Source Destination
Protocol Info
64 2009-05-03 12:48:24.340809 10.5.110.1
192.168.0.5 ICMP Destination unreachable (Communication
administratively filtered)
***
Y el registro completo, sin censura O:-), del diálogo que mantuvieron
los acusados, el día D en la hora H.
http://pastebin.com/m40172807
He resaltado las líneas de cabecera y las que me parecen interesantes,
que es donde se produce el cambio de IP entre adaptadores, y otra, donde
aparece en escena un nuevo personaje, que es CLP (Cisco Line Protocol)
que no sé qué pinta aquí (todos los adaptadores de red que entran en
juego son Intel gigabit -integrado en la placa- y Realtek gigabit -en
slot pci-) :-?
***
Reconstrucción hipotética de los hechos:
El windows (192.168.0.13) eth0 pregunta por el equipo linux
(192.168.0.5).
El linux (192.168.0.13) le responde (192.168.0.13)
El windows (¡¡¡pasa de 192.168.0.13 a 172.16.0.30!!!) le envía un "clp
--> Cómo y porqué salta "de una interfaz a otra", es un misterio.
--> Por qué usa ese protocolo de Cisco y envía un paquete netbios al linux
es otro misterio.
El linux (192.168.0.5) intenta responder al windows (172.16.0.30) por
el mismo medio y al mismo lugar pero no llega y manda el paquete "por
donde buenamente puede" (la puerta de enlace que es el router adsl
con IP 192.168.0.59).
Efectivamente, en el router también veo registrado ese evento.
***
Si alguien tiene alguna hipótesis sobre el suceso acontencido, pues me puede
enviar un correo en privado para no molestar más o bueno, ponerlo en la
lista.
Y si alguien sabe cómo podría eliminar ese registro del cortafuegos de
suse que aparece cada 5 minutos, pues se agradece de veras.
P.S. Gracias a Lluis por insistir con el wireshark
(el-que-ve-lo-que-otros-no-ven) y el uso del hub-hub O:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
On Sunday 03 May 2009 00:46:51 Camaleón wrote:
Seguro que estas conectando en un hub o en una boca de mantenimiento?
En caso contrario solo veras el broadcast
Si te refieres a un concentrador puro, no, estos son conmutadores,
poco inteligentes pero conmutadores al fin y al cabo.
¿Pero el wireshark no captura todo el tráfico? Pues vaya }:-)
No puede capturarlo, por que fisicamente no esta en tu cable.
El switch redirige y aisla,
Traigo nuevas, que no buenas :-P
Al final he podido hacerme con un "hub-hub" (un concentrador real) mini
que me dieron con el router adsl allá por el año de la parrala, y lo he
podido capturar.
Como esto ya es un poco OT, pongo en este correo sólo las cabeceras del
resultado del wireshark y enlazo al log completo que he puesto en
pastebin:
***
No. Time Source Destination
Protocol Info
60 2009-05-03 12:48:24.298838 192.168.0.13
Broadcast ARP Who has 192.168.0.5? Tell 192.168.0.13
No. Time Source Destination
Protocol Info
61 2009-05-03 12:48:24.298855 Supermic_86:e8:c3
192.168.0.13 ARP 192.168.0.5 is at 00:30:48:86:e8:c3
No. Time Source Destination
Protocol Info
62 2009-05-03 12:48:24.299835 172.16.0.30
192.168.0.5 TCP clp > netbios-ssn [SYN] Seq=0 Win=65535
Len=0 MSS=1460
No. Time Source Destination
Protocol Info
63 2009-05-03 12:48:24.299841 192.168.0.5
172.16.0.30 TCP netbios-ssn > clp [SYN, ACK] Seq=0 Ack=1
Win=5840 Len=0 MSS=1460
No. Time Source Destination
Protocol Info
64 2009-05-03 12:48:24.340809 10.5.110.1
192.168.0.5 ICMP Destination unreachable (Communication
administratively filtered)
***
Y el registro completo, sin censura O:-), del diálogo que mantuvieron
los acusados, el día D en la hora H.
http://pastebin.com/m40172807
He resaltado las líneas de cabecera y las que me parecen interesantes,
que es donde se produce el cambio de IP entre adaptadores, y otra, donde
aparece en escena un nuevo personaje, que es CLP (Cisco Line Protocol)
que no sé qué pinta aquí (todos los adaptadores de red que entran en
juego son Intel gigabit -integrado en la placa- y Realtek gigabit -en
slot pci-) :-?
***
Reconstrucción hipotética de los hechos:
El windows (192.168.0.13) eth0 pregunta por el equipo linux
(192.168.0.5).
El linux (192.168.0.13) le responde (192.168.0.13)
El windows (¡¡¡pasa de 192.168.0.13 a 172.16.0.30!!!) le envía un "clp
netbios-ssn" vía TCP con puerto de origen "2567" al linux (192.168.0.5)
--> Cómo y porqué salta "de una interfaz a otra", es un misterio.
--> Por qué usa ese protocolo de Cisco y envía un paquete netbios al linux
es otro misterio.
El linux (192.168.0.5) intenta responder al windows (172.16.0.30) por
el mismo medio y al mismo lugar pero no llega y manda el paquete "por
donde buenamente puede" (la puerta de enlace que es el router adsl
con IP 192.168.0.59).
Efectivamente, en el router también veo registrado ese evento.
***
Si alguien tiene alguna hipótesis sobre el suceso acontencido, pues me puede
enviar un correo en privado para no molestar más o bueno, ponerlo en la
lista.
Y si alguien sabe cómo podría eliminar ese registro del cortafuegos de
suse que aparece cada 5 minutos, pues se agradece de veras.
P.S. Gracias a Lluis por insistir con el wireshark
(el-que-ve-lo-que-otros-no-ven) y el uso del hub-hub O:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |