Hola, Acabo de instalar un Suse 9.3 y me he encontrado con unos logs muy raros en /var/log/messages. Os paso un estracto: Sep 27 09:14:41 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06 Sep 27 09:14:42 servidor kernel: martian source 192.168.1.150 from 192.168.1.131, on dev eth0 Sep 27 09:14:42 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06 Sep 27 09:15:06 servidor kernel: martian source 192.168.1.255 from 192.168.1.104, on dev eth0 Sep 27 09:15:06 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:d8:27:0d:d5:08:00 Sep 27 09:15:29 servidor kernel: martian source 192.168.1.122 from 192.168.1.30, on dev eth0 Sep 27 09:15:29 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:0c:6e:bd:54:a1:08:06 Sep 27 09:15:39 servidor kernel: martian source 192.168.1.1 from 192.168.1.159, on dev eth0 Sep 27 09:15:39 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:c0:49:a9:c0:17:08:06 Sep 27 09:16:07 servidor kernel: martian source 192.168.1.255 from 192.168.1.30, on dev eth0 Sep 27 09:16:07 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:0c:6e:bd:54:a1:08:00 Sep 27 0 .... que es eso de martian source? no lo habia visto en mi vida, ¿quiere decir fuente marciana? a ver si he entrado en contacto con vida extraterrestre :-) Emi
buenas,
Acabo de instalar un Suse 9.3 y me he encontrado con unos logs muy raros en /var/log/messages. Os paso un estracto:
Sep 27 09:14:41 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06 Sep 27 09:14:42 servidor kernel: martian source 192.168.1.150 from 192.168.1.131, on dev eth0 que es eso de martian source? no lo habia visto en mi vida, ¿quiere decir fuente marciana? a ver si he entrado en contacto con vida extraterrestre :-)
Se ha hablado alguna vez en la lista. Si te fijas, las direcciones fuente son 192.168.*.*, es decir _internas_ . No deberías recibir ningun paquete del mundo exterior con esa ip. Esta prohibido :P Donde apunta eth0? -- Saludos, miguel
El 27/09/05, miguel gmail<miguel.listas@gmail.com> escribió:
buenas,
Acabo de instalar un Suse 9.3 y me he encontrado con unos logs muy raros en /var/log/messages. Os paso un estracto:
Sep 27 09:14:41 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06 Sep 27 09:14:42 servidor kernel: martian source 192.168.1.150 from 192.168.1.131, on dev eth0 que es eso de martian source? no lo habia visto en mi vida, ¿quiere decir fuente marciana? a ver si he entrado en contacto con vida extraterrestre :-)
Se ha hablado alguna vez en la lista. Si te fijas, las direcciones fuente son 192.168.*.*, es decir _internas_ . No deberías recibir ningun paquete del mundo exterior con esa ip. Esta prohibido :P
Donde apunta eth0?
eth0 es 192.168.0.90, el server tiene 2 tarjetas, pudo ser que en un momento determinado conecte los cables al reves y le empezaran a llegar peticiones de una red distinta a la configurada? es decir, eth0 esta en la red 192.168.0.0, y eth1 en 192.168.1.0, al cambiar los cables llegarian todas las peticiones de ips del "mundo exterior" ¿Seria una posible explicacion? o estoy diciendo bobadas? Emi
-- Saludos, miguel
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-09-27 a las 14:05 +0200, Emiliano Sutil escribió:
eth0 es 192.168.0.90, el server tiene 2 tarjetas, pudo ser que en un momento determinado conecte los cables al reves y le empezaran a llegar peticiones de una red distinta a la configurada? es decir, eth0 esta en la red 192.168.0.0, y eth1 en 192.168.1.0, al cambiar los cables llegarian todas las peticiones de ips del "mundo exterior" ¿Seria una posible explicacion? o estoy diciendo bobadas?
No, es muy posible. La traducción sería como "de origen marciano", o sea, paquetes imposibles de recibir donde se reciben por alguna circunstancia: por ejemplo, recibir en una interfaz conectada a internet IP reservadas a redes locales, que no se pueden propagar por la publica. Hay muchas posibilidades "imposibles", una de ellas será (en este caso no caigo). |> Sep 27 09:14:42 servidor kernel: martian source 192.168.1.150 from 192.168.1.131, on dev eth0 |> Sep 27 09:14:42 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06 Dice que en el dispositivo eth0, marcado como 192.168.1.150 le llegan paquetes desde 192.168.1.131, que considera imposible. Y te da la dirección hardware (ethernet) del culpable: "ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06". - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDOT2ntTMYHG2NR9URAjSgAJ9N60ktM1Nr6WkoRlJY4gsAe8WhYwCgjDFp tjZFz+9pCo6woulpSRwFnI8= =X44O -----END PGP SIGNATURE-----
El 27/09/05, Carlos E. R.<robin1.listas@tiscali.es> escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
No, es muy posible. La traducción sería como "de origen marciano", o sea, paquetes imposibles de recibir donde se reciben por alguna circunstancia: por ejemplo, recibir en una interfaz conectada a internet IP reservadas a redes locales, que no se pueden propagar por la publica. Hay muchas posibilidades "imposibles", una de ellas será (en este caso no caigo).
Me parece que si que fue eso lo que paso en uno de los multiples cambios que hice, confundi los cables.
|> Sep 27 09:14:42 servidor kernel: martian source 192.168.1.150 from 192.168.1.131, on dev eth0 |> Sep 27 09:14:42 servidor kernel: ll header: ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06
Dice que en el dispositivo eth0, marcado como 192.168.1.150 le llegan paquetes desde 192.168.1.131, que considera imposible. Y te da la dirección hardware (ethernet) del culpable: "ff:ff:ff:ff:ff:ff:00:11:2f:2b:b8:f7:08:06".
Lo raro es que la ip 192.168.1.150 y la 192.168.1.131, son de 2 maquinas de la red interna, la interfaz eth0 no ha tenido nunca ninguna de esas ips, mas aun siempre ha tenido la ip 192.168.0.205 asi que no acabo de entender muy bien el log, es como si hubira pillado trafico entre esas 2 ips, Una pregunta, esto es nuevo en Suse 9.3? porque no recuerdo haber visto esto nunca, y equivocarme con los cables lo hago todas las semanas, :-) Emi
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDOT2ntTMYHG2NR9URAjSgAJ9N60ktM1Nr6WkoRlJY4gsAe8WhYwCgjDFp tjZFz+9pCo6woulpSRwFnI8= =X44O -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Lo raro es que la ip 192.168.1.150 y la 192.168.1.131, son de 2 maquinas de la red interna, la interfaz eth0 no ha tenido nunca ninguna de esas ips, mas aun siempre ha tenido la ip 192.168.0.205 asi que no acabo de entender muy bien el log, es como si hubira pillado trafico entre esas 2 ips,
Uhm... si la mascara de la 192.168.0.205 es 255.255.255.0 entonces esos paquetes que vienen de la ip 192.168.1.150 si son una fuente marciana, pq estan en distintos tramos de red. Tienes localizada la maquina 1.150?
Una pregunta, esto es nuevo en Suse 9.3? porque no recuerdo haber visto esto nunca, y equivocarme con los cables lo hago todas las semanas, :-)
Diría que si... -- Saludos, miguel
El 27/09/05, miguel gmail<miguel.listas@gmail.com> escribió:
Lo raro es que la ip 192.168.1.150 y la 192.168.1.131, son de 2 maquinas de la red interna, la interfaz eth0 no ha tenido nunca ninguna de esas ips, mas aun siempre ha tenido la ip 192.168.0.205 asi que no acabo de entender muy bien el log, es como si hubira pillado trafico entre esas 2 ips,
Uhm... si la mascara de la 192.168.0.205 es 255.255.255.0 entonces esos paquetes que vienen de la ip 192.168.1.150 si son una fuente marciana, pq estan en distintos tramos de red.
Tienes localizada la maquina 1.150?
Si es una maquina de la red local con windows xp, para mi que todas esas fuentes marcianas las genero trafico de netbios al conectar mal los cables,
Una pregunta, esto es nuevo en Suse 9.3? porque no recuerdo haber visto esto nunca, y equivocarme con los cables lo hago todas las semanas, :-)
Diría que si...
Pues con saberlo listo, una cosa mas para apuntar al cuadernillo... Saludos Emi
-- Saludos, miguel
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Si es una maquina de la red local con windows xp, para mi que todas esas fuentes marcianas las genero trafico de netbios al conectar mal los cables,
y coincide la hora del log con los cables mal puestos? Y me surge una duda. Aunque las maquinas estén en tramos de red distintos, si puede haber (y normalmente hay) ruta entre dos maquinas tal como tu las tienes. Y, habiendo ruta (a traves de un router, claro), los paquetes de una maquina llegarán a la otra. Como demonios sabe la maquina que recibe los paquetes que no son marcianos? Los cambia el router? Y si los cambia el router, como sabe el router donde dirigir los paquetes cuando vuelven? (alguien sabe a que saben las nubes, cuato son 400 dracmas :D)
Pues con saberlo listo, una cosa mas para apuntar al cuadernillo...
Siempre empiezo ´cuadernos´ de estos, pero se me desorganizan pronto y los termino por abandonar. Hay algun truco para tenerlos ordenados? -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-09-27 a las 17:51 +0200, Emiliano Sutil escribió:
Una pregunta, esto es nuevo en Suse 9.3? porque no recuerdo haber visto esto nunca, y equivocarme con los cables lo hago todas las semanas, :-)
¡Que va! Haciendo una busqueda en mi archivo, encuentro referencias en la lista inglesa de octubre 2003. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDPwo3tTMYHG2NR9URAmOqAJ44nCCfJPSSO/1lRIiz0NRoHPsoVACfY9vl KaGW/quZm5IxvT+SrTTP0UA= =2OxQ -----END PGP SIGNATURE-----
On Tue, 27 Sep 2005 13:53:19 +0200 Emiliano Sutil <emiliano.sutil@gmail.com> wrote: emiliano.sutil> emiliano.sutil> que es eso de martian source? no lo habia visto en mi vida, ¿quiere emiliano.sutil> decir fuente marciana? a ver si he entrado en contacto con vida emiliano.sutil> extraterrestre :-) Pues si, son extraterrestres: Paquetes de tráfico de la red que proceden de una subred incorrecta En realidad lo que indica es que la red no está correctamente configurada. -- Salutacions - Saludos, Josep M. Queralt
Pues lastimosamente los marcianos en linux son mas terrestres de lo que parece, ya que este error se da por el uso de una IP incorrecta asignada a la interfas que apunta a internet, por lo que el router te envia paquetes perdidos o basura a tu interfas. Tambien puede ser un problema de seguridad en un router de la red local que apunte a internet, de cualquier forma te pongo algunos enlaces: Martian. Término jocoso con el que se denominan los paquetes que aparecen de repente en una red equivocada, por error de un router. Número: 131. Sección: Diccionario de Internet. página: 33 http://www.idg.es/pcworld/articulo.asp?id=37096 PC-WOLD Pero lo mejor tecnicamente hablando lo puedes en contrar en la secion "5.3.7 Martian Address Filtering" del RFC1812, http://www.faqs.org/rfcs/rfc1812.html Y amplia un poco Dark Veider (karkoma) en su exelente Web: http://www.karkomaonline.com/article.php/20030907144623225 Att. Miguel A. Hernandez San Salvador, El Salvador
participants (5)
-
Carlos E. R. -
Emiliano Sutil -
Josep M. Queralt -
Marcos Contreras -
miguel gmail