URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47235
[ Назад ]

Исходное сообщение
"Что за надписи непонятные??"
Отправлено Andrej , 16-Авг-04 13:03

в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика?

Содержание

Что за надписи непонятные??,denn, 12:41 , 17-Авг-04
- Что за надписи непонятные??,Андрей, 12:28 , 20-Авг-04
  - Что за надписи непонятные??,Chris, 12:32 , 20-Авг-04
    - Что за надписи непонятные??,temny, 14:04 , 20-Авг-04
Что за надписи непонятные??,screepah, 15:57 , 20-Авг-04
- Что за надписи непонятные??,Андрей, 00:12 , 24-Авг-04
  - Что за надписи непонятные??,tiv, 14:13 , 24-Авг-04
    - Что за надписи непонятные??,Андрей, 19:07 , 24-Авг-04
      - Что за надписи непонятные??,tiv, 09:32 , 25-Авг-04
        
        Что за надписи непонятные??,Andrej, 19:17 , 25-Авг-04
        
        Что за надписи непонятные??,Andrej, 13:16 , 27-Авг-04
        
        Что за надписи непонятные??,Фтвкуо, 18:23 , 29-Авг-04
        
        Что за надписи непонятные??,Андрей, 00:57 , 02-Сен-04

Сообщения в этом обсуждении

"Что за надписи непонятные??"
Отправлено denn , 17-Авг-04 12:41

>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514) после этого natd загрузка процессора достигает 100 % и все падает. Бывает не часто, но в самые неподходящие моменты. Или может это из-за того, что повышается загрузка natd?? Тогда кем и чем, потому как есть подозрение, что кто-то входит в онлайн, и от него валит куча вирусного траффика, с которым нат не справляесяЮ а возможности посмотреть нету, т.к. в сети 400 пользователей. Может кто имел с этим дело и знает какой вирус это делает, и вообще какие кто порты закрывает у себя на шлюзе против самых распространнех вирусов, шлющих кучу мусорного траффика?

решил проблему?

"Что за надписи непонятные??"
Отправлено Андрей , 20-Авг-04 12:28

Нет, увы.

"Что за надписи непонятные??"
Отправлено Chris , 20-Авг-04 12:32

а не дос атака ли это?
посмотри netstat -na
сколько коннектов?

"Что за надписи непонятные??"
Отправлено temny , 20-Авг-04 14:04

>а не дос атака ли это?
>посмотри netstat -na
>сколько коннектов?
Может попробовать двинуться в направлении
ipfw a 100 deny log all from any to any iplen 1515-65535
или что-то вроде этого и далее смотреть в логи.

"Что за надписи непонятные??"
Отправлено screepah , 20-Авг-04 15:57

>в логах - kernel: rl1: discard oversize frame (ether type 19b3 flags 3 len 58065 > max 1514)
флудят тебя
смотри кто и что и потом патчся

"Что за надписи непонятные??"
Отправлено Андрей , 24-Авг-04 00:12

Нашел я причину пользуясь ettercap. Пару пользователей, заражены как понимаю червями, и шлют кучу траффика на 137 и 445 порты. Когда они в онлайне - все падает. Я их блокирую через arp ( на сервере статическая таблица), в rc.firewall блокирую 137 и 445 порты во всех направлениях на всех интерфейсах, тем не менее как только они включают компьютеры, все виснет, хотя когда я удаляю из базы их маки, интернет и сеть у них не работает. На внутреннем интерфейсе у меня сидит bandwidthd, он фиксирует прохождение траффика в размере 80 MBPS, через сетевую карту, смотрящую в сеть.
Ниже прилагаются файлы конфигураций, может сдесь чего не досмотрел???
rc.firewall:
/sbin/ipfw -f flush
/sbin/ipfw add 1 check-state
#Razresaem vsio cerez lo0
/sbin/ipfw add 2 allow all from any to any via lo0
#Zaprescajem prohozdenije "opasnih icmp fragmentirovannyh paketov"
/sbin/ipfw add 3 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 4 deny icmp from any to any frag
#####################################################
#Zaprety
/sbin/ipfw add 6 deny all from any to any 135,137,139,79,445 via rl0
/sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0
/sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1
/sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1
#####################################################
/sbin/ipfw add 10 divert natd all from any to any via rl1
#####################################################
/sbin/ipfw add 17 allow icmp from any to any
/sbin/ipfw add 19 allow udp from any to me 53
/sbin/ipfw add 20 allow udp from me 53 to any
/sbin/ipfw add 21 allow udp from any 53 to me
/sbin/ipfw add 22 allow udp from me to any 53
/sbin/ipfw add 23 allow all from any to any via rl0
#####################################################
ну а дальше уже пошли трубы...., что не есть актуально.
еще на сервере есть преобразование внутренних адресов во внешние, которое осуществляется так:
natd.conf
interface rl1
use_sockets yes
redirect_address 10.1.0.1 213.226.189.1
.................
понимаю, что способ не очень хорош, а как иначе "навязать" внутренним адресам, при выходе в инет внешний? Может в этом есть доля проблемы?????

"Что за надписи непонятные??"
Отправлено tiv , 24-Авг-04 14:13

>/sbin/ipfw add 7 deny all from any 79,135,137,139,445 to any via rl0
>
>/sbin/ipfw add 8 deny all from any to any 135,137,139,79,445 via rl1
>
>/sbin/ipfw add 9 deny all from any 79,135,137,139,445 to any via rl1
Вместо all, tcp или udp поставь, зависит от порта

"Что за надписи непонятные??"
Отправлено Андрей , 24-Авг-04 19:07

А почему ALL нехорошо, вроде это описывает все типы протоколов, как написано в мануале???

"Что за надписи непонятные??"
Отправлено tiv , 25-Авг-04 09:32

Не все протоколы имеют порты, вот что говорит ipfw по этому поводу
ipfw: only TCP and UDP protocols are valid with port specifications
соответственно твои правила с deny all не выполняются

"Что за надписи непонятные??"
Отправлено Andrej , 25-Авг-04 19:17

Понятно, большое спасибо. Нашел я еще одну проблему - через 6667 порт ( мирк ) несколько клиентов открывают по 5000 соединений в секунду на неизвестные хосты. Как решить эту проблему, ведь порт 6667 не запретить - все пользуются мирком? Может можно как-нибудь установить лимит скажем в 10 подключений именно с конкретных адресов; на конкретные порты, скажем 6667 не более 10 подключений, а все остальные - не более 30? ip в сети - 10.1.0.X, subnet mask 255,255,254,0

"Что за надписи непонятные??"
Отправлено Andrej , 27-Авг-04 13:16

Ну подскажите хоть кто-нибудь, сейчас уже и 443 порт флудят только с внешних ип неизвестных на неизвестные...???
прописал такие правила - а ничего вообще с ними не работает? Ну что я неправильно прописал???
/sbin/ipfw add 12 deny tcp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 13 deny tcp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1
/sbin/ipfw add 14 deny tcp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 15 deny tcp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1
/sbin/ipfw add 16 deny udp from any to not 10.1.0.0/23 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 17 deny udp from not 10.1.0.0/23 443,6667,8080,3128,1080 to any via rl1
/sbin/ipfw add 18 deny udp from not 10.1.0.0/23 to any 443,6667,8080,3128,1080 via rl1
/sbin/ipfw add 19 deny udp from any 443,6667,8080,3128,1080 to not 10.1.0.0/23 via rl1
/sbin/ipfw add 20 deny tcp from any to not me 443,6667 via rl1
/sbin/ipfw add 21 deny tcp from any 443,6667 to not me via rl1
/sbin/ipfw add 22 deny tcp from not me to any 443,6667 via rl1
/sbin/ipfw add 23 deny tcp from not me 443,6667 to any via rl1
/sbin/ipfw add 24 deny udp from any to not me 443,6667 via rl1
/sbin/ipfw add 25 deny udp from any 443,6667 to not me via rl1
/sbin/ipfw add 26 deny udp from not me to any 443,6667 via rl1
/sbin/ipfw add 27 deny udp from not me 443,6667 to any via rl1
№
/sbin/ipfw add 40 check-state
/sbin/ipfw add 41 allow all from 10.1.0.0/23 to any via rl1 setup limit dst-port 10
/sbin/ipfw add 42 allow all from any to 10.1.0.0/23 via rl1 setup limit dst-port 10

"Что за надписи непонятные??"
Отправлено Фтвкуо , 29-Авг-04 18:23

А ettercap кстати, выдает следуещее - только каждый раз разные порты
10.1.0.74:1413 <--> 125.34.62.58:445 x OPENINGx microsoft- xx 0.0.0.0:302 <--> 66.252.134.100:113 x x auth xx 0.0.0.0:568 <--> 66.252.134.100:113 x x auth xx 0.0.0.0:106 <--> 66.252.134.100:113 x x pop3pw xx 0.0.0.0:457 <--> 141.222.1.60:113 x x auth xx 0.0.0.0:38 <--> 141.222.1.60:113 x x rap xx 0.0.0.0:825 <--> 141.222.1.60:113 x x auth xx 0.0.0.0:221 <--> 141.222.1.60:113 x x auth xx 0.0.0.0:623 <--> 141.222.1.60:113 x x auth xx 0.0.0.0:472 <--> 141.222.1.60:113 x x auth xx 0.0.0.0:318 <--> 141.222.1.60:113 x x auth xx

"Что за надписи непонятные??"
Отправлено Андрей , 02-Сен-04 00:57

Ну разве никто не знает что это хоть за адреса 0.0.0.0???