Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall). Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son distribuidos en el mundo o pueden estar utilizando redes Thor o similar para que no sean indentificados. Todos atacan al mismo puerto, que corres ahí??
El log que te tira no veo el puerto al que intentan acceder. Y /var/log/secure como esta?
#Algunas reglas que utilizo en iptables no se como será para shorewall # al tercer intento de conexión lo baneo por varias horas, ojo que es al puerto 22 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP
inetnum: 213.155.216.0 - 213.155.223.255 netname: BRSI-RU-NET-10 descr: Joint Stock Company "Central Telecommunications Company" Bryansk Branch country: RU admin-c: SNK6-RIPE tech-c: AAK19-RIPE status: ASSIGNED PA mnt-by: BRSI-RU-MNT source: RIPE # Filtered
person: Alexander A Kelner address: OJSC Rostelecom, Bryansk branch address: prosp. Lenina, d.47 address: 241050, Bryansk address: Russia phone: +7 4832 722708
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de cheperobert Enviado el: jueves, 05 de julio de 2012 11:03 Para: centos-es@centos.org Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
Hola a todo, tengo un server con CentOS como firewall con shorewall, ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde internet, no quisiera pensar que es ataque, pero asi parece.
Antes de empezar a realizar acciones me gustaria conocer sus impresiones y alguna recomendacion, en el log se puede ver que no se esta permitiendo el ingreso, tal como lo tengo restringido, pero no veo que sea normal.
Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP SPT=49885 DPT=47794 LEN=38 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP SPT=45503 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP SPT=6964 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP SPT=36608 DPT=47794 LEN=75
Gracias
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es