[CentOS-es] Shorewall me genera muchos log en /var/log/messages

Pablo Flores Aravena pabflore en uchile.cl
Jue Jul 5 11:49:21 EDT 2012


Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall).
Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son
distribuidos en el mundo o pueden estar utilizando redes Thor o similar para
que no sean indentificados. Todos atacan al mismo puerto,  que corres ahí??

El log que te tira no veo el puerto al que intentan acceder.
Y  /var/log/secure como esta?

#Algunas reglas que utilizo en iptables no se como será para shorewall
# al tercer intento de conexión lo baneo por varias horas, ojo que es al
puerto 22
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update
--seconds 36000 --hitcount 3 --rttl --name SSH -j DROP



inetnum:        213.155.216.0 - 213.155.223.255
netname:        BRSI-RU-NET-10
descr:          Joint Stock Company "Central Telecommunications Company"
Bryansk Branch
country:        RU
admin-c:        SNK6-RIPE
tech-c:         AAK19-RIPE
status:         ASSIGNED PA
mnt-by:         BRSI-RU-MNT
source:         RIPE # Filtered

person:          Alexander A Kelner
address:         OJSC Rostelecom, Bryansk branch
address:         prosp. Lenina, d.47
address:         241050, Bryansk
address:         Russia
phone:           +7 4832 722708

-----Mensaje original-----
De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En
nombre de cheperobert
Enviado el: jueves, 05 de julio de 2012 11:03
Para: centos-es en centos.org
Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages

Hola a todo, tengo un server con CentOS como firewall con shorewall,
ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada
desde internet, no quisiera pensar que es ataque, pero asi parece.

Antes de empezar a realizar acciones me gustaria conocer sus impresiones y
alguna recomendacion, en el log se puede ver que no se esta permitiendo el
ingreso, tal como lo tengo restringido, pero no veo que sea normal.

Jul  4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx
LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP
SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul  4 22:45:40 miserver
kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx
LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP
SPT=49885 DPT=47794 LEN=38
Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx
LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP
SPT=45503 DPT=47794 LEN=75
Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP
SPT=6964 DPT=47794 LEN=75
Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP
SPT=36608 DPT=47794 LEN=75


Gracias

--
Saludos,
cheperobert
_______________________________________________
CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es




Más información sobre la lista de distribución CentOS-es