[opensuse-es] Registro del cortafuegos (paquetes entre redes no conectadas)
Hola, Hace unos días que he añadido un nuevo equipo en la red. Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada): *** Apr 29 19:40:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ] Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ] Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ] *** No sé qué es, pero tengo que ver por qué se generan estos registros para poder eliminarlos. Explico: - 192.168.0.5 es una suse 10.3 (hylafax, cyrus, postfix, fetchmail...) - 172.16.0.30 es un windows xp que también tiene un segundo adaptador con ip 192.168.0.13 ¿Qué es lo que está pasando? ¿Qué es esa ip 10.5.110.1? ¿Qué está registrando exactamente? a) El rechazo de un paquete icmp desde 10.5.110.1 b) La salida de un paquete udp hacia 172.16.0.30 ¿Qué significa el "corchete" y por qué esa transformación de la ip? *** ¿Por qué suse está registrando tráfico que está "fuera de su influencia"? Explico: tengo 3 redes (10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/24). Hay dos switches troncales: uno "no gestionable" (lleva la red 192.168.0.0) y otro "gestionable" con una VPN configurada para dos redes (172.16... y 10.0.0...) Este equipo suse (192.168.0.5) sólo debería ver el tráfico que le llega de la red 192.168.0.x porque no tengo configurados puentes (bridges) en los adaptadores de red los equipos windows :-? *** Se agradece alguna interpretación del mensaje y sugerencias para eliminarlo :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón wrote:
Hola,
Hace unos días que he añadido un nuevo equipo en la red.
Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada):
*** Apr 29 19:40:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Apr 29 19:44:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ] ***
No sé qué es, pero tengo que ver por qué se generan estos registros para poder eliminarlos.
Explico:
- 192.168.0.5 es una suse 10.3 (hylafax, cyrus, postfix, fetchmail...) - 172.16.0.30 es un windows xp que también tiene un segundo adaptador con ip 192.168.0.13
¿Qué es lo que está pasando?
¿Qué es esa ip 10.5.110.1?
¿Qué está registrando exactamente?
a) El rechazo de un paquete icmp desde 10.5.110.1 b) La salida de un paquete udp hacia 172.16.0.30
¿Qué significa el "corchete" y por qué esa transformación de la ip?
*** ¿Por qué suse está registrando tráfico que está "fuera de su influencia"?
Explico: tengo 3 redes (10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/24).
Hay dos switches troncales: uno "no gestionable" (lleva la red 192.168.0.0) y otro "gestionable" con una VPN configurada para dos redes (172.16... y 10.0.0...)
Este equipo suse (192.168.0.5) sólo debería ver el tráfico que le llega de la red 192.168.0.x porque no tengo configurados puentes (bridges) en los adaptadores de red los equipos windows :-? ***
Se agradece alguna interpretación del mensaje y sugerencias para eliminarlo :-)
Saludos,
Yo no tengo ni idea de iptables (me gusta mas ipfilter de los BSD), pero el registro lo que sí dice es que te llegan paquetes de la red 172.16.0.0/16 (por cierto, ¿porque usas TODA esa red? ¿tantas máquinas tienes ahí?) a ese host y dicho host los rechaza como "Communication Administratively Prohibited". A priori es un tipo de paquete que puede enviar un switch, un router o bien un host que actue como enrutador (incluidos los firewalls). De entrada yo miraría bien la configuración de esos switches. Ojo: si tienes dos switches configurados con VLAN tagging, QoS y demás especies y les "enganchas" otro switch que en realidad te actúa como un hub (como aquel que dice), este último va a enviar por todas sus bocas tráfico broadcast, multicast, etc ... Por ello es probable que el prolema lo tengas en los switches. Yo es lo primero que miraría. Y de segundas, si tienes ese Windows XP de dos interfaces enrutando, ya has encontrado el porqué .... Sobre elminar el mensaje, si no voy equivocado hay parámetros en el kernel para que no te los registre o los rechace en forma silent (vamos no entregará nada a iptables). En concreto mira estos: net.ipv4.icmp_ignore_bogus_error_responses net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_all Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-04-30 a las 11:15 +0200, carlopmart escribió:
Camaleón wrote:
Hace unos días que he añadido un nuevo equipo en la red. Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada): *** Apr 29 19:40:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Yo no tengo ni idea de iptables (me gusta mas ipfilter de los BSD), pero el registro lo que sí dice es que te llegan paquetes de la red 172.16.0.0/16
Arg, eso es lo que me temía y lo que me preocupa. Las redes están separadas, físicamente. No deberían llegar paquetes entre ambas.
(por cierto, ¿porque usas TODA esa red? ¿tantas máquinas tienes ahí?)
No, no hay tantas :-) El rango de uso efectivo es desde 172.16.0.1 hasta 172.16.0.254. No sólo hay ordenadores y servidores sino sais, routers, switches e impresoras que ocupan también una IP.
a ese host y dicho host los rechaza como "Communication Administratively Prohibited". A priori es un tipo de paquete que puede enviar un switch, un router o bien un host que actue como enrutador (incluidos los firewalls).
Es decir, que el windows xp le está intentando enviar un paquete al suse y éste lo rechaza. Si esa interpretación es correcta, tendré que revisar el equipo que está enviando esos paquetes y por qué. Lo que me extraña es que sea un paquete icmp y que la dirección del equipo que registra el cortafuegos sea del segundo adaptador de red. ¿Cómo estará pasando los paquetes de un adaptador de red al otro? :-?
De entrada yo miraría bien la configuración de esos switches. Ojo: si tienes dos switches configurados con VLAN tagging, QoS y demás especies y les "enganchas" otro switch que en realidad te actúa como un hub (como aquel que dice), este último va a enviar por todas sus bocas tráfico broadcast, multicast, etc ... Por ello es probable que el prolema lo tengas en los switches. Yo es lo primero que miraría.
Lo curisoso es que las redes 172.0.0.1 y 192.168.0.1 no tienen ninguna conexión compartida física, ningún cable las interconecta ni comunica. Sólo algunos equipos de la red 192.168.0.1 (por ejemplo, ese windows xp) tienen dobles adaptadores de red que le permiten acceder a ambas redes, pero ninguno de estos equipos actúa como router o como bridge :-?
Y de segundas, si tienes ese Windows XP de dos interfaces enrutando, ya has encontrado el porqué ....
Sobre elminar el mensaje, si no voy equivocado hay parámetros en el kernel para que no te los registre o los rechace en forma silent (vamos no entregará nada a iptables). En concreto mira estos:
net.ipv4.icmp_ignore_bogus_error_responses net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_all
Gracias por el análisis :-) Voy a hacer pruebas con ese host en concreto que es el único que está haciendo cosas raras, a ver qué encuentro. Desactivando el adaptador de red lo primero debería ver es que se dejan de registrar esos mensajes en el cortafuegos, pero tendré que esperar a que termine la jornada para hacerlo. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-04-30 a las 15:10 +0200, jose maria escribió:
El Miércoles, 29 de Abril de 2009, Camaleón escribió:
Hace unos días que he añadido un nuevo equipo en la red.
Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada):
***
* Replicas de broadcast de wilson (samba)
Si lo puedes explicar un poco más, te lo agradecería. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jueves, 30 de Abril de 2009, Camaleón escribió:
El 2009-04-30 a las 15:10 +0200, jose maria escribió:
El Miércoles, 29 de Abril de 2009, Camaleón escribió:
Hace unos días que he añadido un nuevo equipo en la red.
Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada):
***
* Replicas de broadcast de wilson (samba)
Si lo puedes explicar un poco más, te lo agradecería.
* Windows es un sistema "amigo", genera constantemente trafico de broadcast dirigido a todo vicho viviente en una red, "anunciando" su presencia, sus servicios, ofreciendose a amar a todo el mundo, buscando sus hermanos por que entiende que las redes en el universo informatico son sus protocolos, obviamente samba clona el protocolo, por tanto puede ser samba, de hay que en una gran red, 50 equipos con windows, incluso con E-100 y hubs o swtch barato, a media mañana hubiera que reiniciarlos por saturacion de la red por trafico de broadcast, 2003 B.S. ya no ladra tanto. * Esto que yo sepa es inevitable en windows XP, 2000 y vista supongo que tampoco, o lo era, ya que parar un servicio (netbios, wins, etc) implicaba parar en cadena una docena, asi que lo que te toca salvo que tengas switch's de nivel 3, es DROP en el cortafuegos ya sea en forward, ext o int segun por donde vengan generalmente int (si no tienes multiples tarjetas). o como te han sugerido en /etc/sysctl.conf solo que esto descarta a mi modo de ver todo el trafico de broadcast que puede no ser conveniente dependiendo los servicios, yo haria DROP sin log, si no recuerdo mal hay ejemplos en SuSEfirewall2 precisamente de ese trafico UDP especifico.
El 2009-04-30 a las 16:20 +0200, jose maria escribió:
El Jueves, 30 de Abril de 2009, Camaleón escribió:
Si lo puedes explicar un poco más, te lo agradecería.
* Windows es un sistema "amigo", genera constantemente trafico de broadcast dirigido a todo vicho viviente en una red, "anunciando" su presencia, sus servicios, ofreciendose a amar a todo el mundo, buscando sus hermanos por que entiende que las redes en el universo informatico son sus protocolos, obviamente samba clona el protocolo, por tanto puede ser samba, de hay que en una gran red, 50 equipos con windows, incluso con E-100 y hubs o swtch barato, a media mañana hubiera que reiniciarlos por saturacion de la red por trafico de broadcast, 2003 B.S. ya no ladra tanto.
* Esto que yo sepa es inevitable en windows XP, 2000 y vista supongo que tampoco, o lo era, ya que parar un servicio (netbios, wins, etc) implicaba parar en cadena una docena, asi que lo que te toca salvo que tengas switch's de nivel 3, es DROP en el cortafuegos ya sea en forward, ext o int segun por donde vengan generalmente int (si no tienes multiples tarjetas). o como te han sugerido en /etc/sysctl.conf solo que esto descarta a mi modo de ver todo el trafico de broadcast que puede no ser conveniente dependiendo los servicios, yo haria DROP sin log, si no recuerdo mal hay ejemplos en SuSEfirewall2 precisamente de ese trafico UDP especifico.
O.k. Gracias. Preguntas: - ¿Es normal que sólo genere tráfico un equipo en concreto? Hay más windows en la red que no generan ese tipo de tráfico ni registran nada. - ¿Es normal que el tráfico lo genere un adaptador de red sin conexión física con la red del suse? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jueves, 30 de Abril de 2009, Camaleón escribió:
- ¿Es normal que sólo genere tráfico un equipo en concreto? Hay más windows en la red que no generan ese tipo de tráfico ni registran nada.
* Es posible, si son de diferentes matriculas, si tienen servicios diferentes, etc, habria que auditar las razones que seguro que las hay, puede ser hasta impresora de red, incluido cups/samba, en cualquier caso una cosa es que lo generen si/no o que tu lo veas donde ves el otro, lo primero es ver que diferencias hay, seguro que no son las mismas circunstancias y no me refiero solo a la red, version, service-pack, lo que sea ....
- ¿Es normal que el tráfico lo genere un adaptador de red sin conexión física con la red del suse?
* No pillo bien lo de adaptador de red y sin conexion fisica, sin conexion fisica significa no compartir hierro, asi que si hay intercomunicadores por el medio SI hay conexion fisica, no vale con tener ip de rangos diferentes si el hierro intermedio no discrimina por ip (nivel 3), estan en el mismo dominio de colision, ademas de las bocas de auditoria o gestionados si estan habilitadas en ciertos switch, si hay router por el medio y vpn sin filtrado especifico lo mismo, seguro que comparten el dominio de colision.
El 2009-04-30 a las 17:05 +0200, jose maria escribió:
El Jueves, 30 de Abril de 2009, Camaleón escribió:
- ¿Es normal que sólo genere tráfico un equipo en concreto? Hay más windows en la red que no generan ese tipo de tráfico ni registran nada.
* Es posible, si son de diferentes matriculas, si tienen servicios diferentes, etc, habria que auditar las razones que seguro que las hay, puede ser hasta impresora de red, incluido cups/samba, en cualquier caso una cosa es que lo generen si/no o que tu lo veas donde ves el otro, lo primero es ver que diferencias hay, seguro que no son las mismas circunstancias y no me refiero solo a la red, version, service-pack, lo que sea ....
Diferencias notables: - El equipo que genera estos registros en el cortafuegos de suse monta un windows xp 64, el resto son 32 bits. - Services Pack tiene el SP2 (no hay SP3 para windows xp 64) - Servicios activados, ninguno especial. Es una estación de trabajo, no ejerce de servidor. Sólo tiene un verificador de cuentas pop3/imap que conecta localmente cada 5 minutos con el servidor imap de suse.
- ¿Es normal que el tráfico lo genere un adaptador de red sin conexión física con la red del suse?
* No pillo bien lo de adaptador de red y sin conexion fisica, sin conexion fisica significa no compartir hierro, asi que si hay intercomunicadores por el medio SI hay conexion fisica, no vale con tener ip de rangos diferentes si el hierro intermedio no discrimina por ip (nivel 3), estan en el mismo dominio de colision, ademas de las bocas de auditoria o gestionados si estan habilitadas en ciertos switch, si hay router por el medio y vpn sin filtrado especifico lo mismo, seguro que comparten el dominio de colision.
- Quiero decir que el windows que genera ese tráfico tiene dos tarjetas de red: una (eth0) conectada a un switch (192.168.0.x) y la otra (eth1) conectada a otro swith (172.16.0.x). - Los switches de ambas redes no están conectados / comunicados de ninguna forma. Son redes independientes. Nota: si desactivo el segundo adaptador del windows (eth1 / 172.16.0.30) dejo de recibir esos mesajes en el firewall de suse. No entiendo cómo el tráfico de esta tarjeta (eth1) pasa al otro adaptador (eth0) si no tengo configurado ningún puente entre ambas. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón escribió:
[...] Nota: si desactivo el segundo adaptador del windows (eth1 / 172.16.0.30) dejo de recibir esos mesajes en el firewall de suse. No entiendo cómo el tráfico de esta tarjeta (eth1) pasa al otro adaptador (eth0) si no tengo configurado ningún puente entre ambas.
Saludos,
¿Y te extraña que Win haga lo que quiere Bill sin importarle un rábano del dueño/usuario/administrador de la PC? Mmm... ¿no estás pecando de ingenuidad? Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-04-30 a las 12:49 -0300, Alberto Vicat escribió:
Camaleón escribió:
[...] Nota: si desactivo el segundo adaptador del windows (eth1 / 172.16.0.30) dejo de recibir esos mesajes en el firewall de suse. No entiendo cómo el tráfico de esta tarjeta (eth1) pasa al otro adaptador (eth0) si no tengo configurado ningún puente entre ambas. Saludos,
¿Y te extraña que Win haga lo que quiere Bill sin importarle un rábano del dueño/usuario/administrador de la PC? Mmm... ¿no estás pecando de ingenuidad?
Bueno, eso sería un problema de seguridad "serio" (quiero decir, más serio de los habituales :-P). Puedo estar equivocada, pero creo que los adaptadores de red no deben/pueden "puentear" el tráfico sin una configuración previa (vía software o hardware) :-/ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Thursday 30 April 2009 17:57:55 Camaleón wrote:
El 2009-04-30 a las 12:49 -0300, Alberto Vicat escribió:
Camaleón escribió:
[...] Nota: si desactivo el segundo adaptador del windows (eth1 / 172.16.0.30) dejo de recibir esos mesajes en el firewall de suse. No entiendo cómo el tráfico de esta tarjeta (eth1) pasa al otro adaptador (eth0) si no tengo configurado ningún puente entre ambas. Saludos,
¿Y te extraña que Win haga lo que quiere Bill sin importarle un rábano del dueño/usuario/administrador de la PC? Mmm... ¿no estás pecando de ingenuidad?
Bueno, eso sería un problema de seguridad "serio" (quiero decir, más serio de los habituales :-P).
Puedo estar equivocada, pero creo que los adaptadores de red no deben/pueden "puentear" el tráfico sin una configuración previa (vía software o hardware) :-/
Los adaptadores no, pero tito bill vete a saber. Comprueba los protocolos que tienes activados y si por algun recondito lugar tienes activada la opcion de compartir conexion. Tambien puede ser que al win al ver dos interfaces dice pa tos cafe, aunque no sea la misma red, si total solo me estoy anunciando. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jueves, 30 de Abril de 2009, Camaleón escribió:
- Quiero decir que el windows que genera ese tráfico tiene dos tarjetas de red: una (eth0) conectada a un switch (192.168.0.x) y la otra (eth1) conectada a otro swith (172.16.0.x).
* Pues lo que pasa es que windows utiliza para configurar dos gateways una tactica que personalmente no me va, y es el cambio de metrica en las tarjetas una manda sobre la otra y se comunican, ademas de que te generara "paquetes marcianos" una de ellas casi seguro, por que son paquetes generados "en la otra".
- Los switches de ambas redes no están conectados / comunicados de ninguna forma. Son redes independientes.
Nota: si desactivo el segundo adaptador del windows (eth1 / 172.16.0.30) dejo de recibir esos mesajes en el firewall de suse. No entiendo cómo el tráfico de esta tarjeta (eth1) pasa al otro adaptador (eth0) si no tengo configurado ningún puente entre ambas.
* Exacto la tecnica facil en windows para configurar dos gateways diferentes, la metrica comentada (nota suse se ha apuntado al carro paquete ifmetric, lo digo por alguna configuracion que he puesto multiwan y alguno contesto que eso era un peñazo y en windows un par de clicks)
participants (5)
-
Alberto Vicat -
Camaleón -
carlopmart -
francisco f -
jose maria