Camaleón wrote:
Hola,
Hace unos días que he añadido un nuevo equipo en la red.
Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada):
*** Apr 29 19:40:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ] ***
No sé qué es, pero tengo que ver por qué se generan estos registros para poder eliminarlos.
Explico:
- 192.168.0.5 es una suse 10.3 (hylafax, cyrus, postfix, fetchmail...) - 172.16.0.30 es un windows xp que también tiene un segundo adaptador con ip 192.168.0.13
¿Qué es lo que está pasando?
¿Qué es esa ip 10.5.110.1?
¿Qué está registrando exactamente?
a) El rechazo de un paquete icmp desde 10.5.110.1 b) La salida de un paquete udp hacia 172.16.0.30
¿Qué significa el "corchete" y por qué esa transformación de la ip?
*** ¿Por qué suse está registrando tráfico que está "fuera de su influencia"?
Explico: tengo 3 redes (10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/24).
Hay dos switches troncales: uno "no gestionable" (lleva la red 192.168.0.0) y otro "gestionable" con una VPN configurada para dos redes (172.16... y 10.0.0...)
Este equipo suse (192.168.0.5) sólo debería ver el tráfico que le llega de la red 192.168.0.x porque no tengo configurados puentes (bridges) en los adaptadores de red los equipos windows :-? ***
Se agradece alguna interpretación del mensaje y sugerencias para eliminarlo :-)
Saludos,
Yo no tengo ni idea de iptables (me gusta mas ipfilter de los BSD), pero el registro lo que sí dice es que te llegan paquetes de la red 172.16.0.0/16 (por cierto, ¿porque usas TODA esa red? ¿tantas máquinas tienes ahí?) a ese host y dicho host los rechaza como "Communication Administratively Prohibited". A priori es un tipo de paquete que puede enviar un switch, un router o bien un host que actue como enrutador (incluidos los firewalls). De entrada yo miraría bien la configuración de esos switches. Ojo: si tienes dos switches configurados con VLAN tagging, QoS y demás especies y les "enganchas" otro switch que en realidad te actúa como un hub (como aquel que dice), este último va a enviar por todas sus bocas tráfico broadcast, multicast, etc ... Por ello es probable que el prolema lo tengas en los switches. Yo es lo primero que miraría. Y de segundas, si tienes ese Windows XP de dos interfaces enrutando, ya has encontrado el porqué .... Sobre elminar el mensaje, si no voy equivocado hay parámetros en el kernel para que no te los registre o los rechace en forma silent (vamos no entregará nada a iptables). En concreto mira estos: net.ipv4.icmp_ignore_bogus_error_responses net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_all Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org