[CentOS-es] Shorewall me genera muchos log en /var/log/messages

cheperobert jrobertoalas en gmail.com
Jue Jul 5 12:05:47 EDT 2012 

El día 5 de julio de 2012 09:49, Pablo Flores Aravena
<pabflore en uchile.cl> escribió:
> Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall).
> Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son
> distribuidos en el mundo o pueden estar utilizando redes Thor o similar para
> que no sean indentificados. Todos atacan al mismo puerto,  que corres ahí??

Primeramente gracias por contestar.

Fijate que ya habia investigado sobre estas IP's, y habia pegado con esos paises
Si ese es el puerto, pues que recuerde no corro nada en eso, pero voy
a echar un vistaso, recuerda que la maquina donde llegan los ataques
es la que estoy utilizando como firewall, con shorewall, tengo
interfaz local, DMZ y NEt, los ataques caen de la Net al Firewall en
la interfaz publica que da la salida a Internet y entrada.

En el Firewall esta todo cerrado, salvo aquellos purrtos que son
necesarios para la la DMZ y la interfaz que da con la red local.

>
> El log que te tira no veo el puerto al que intentan acceder.
> Y  /var/log/secure como esta?

Esta tranquilo, no hay problemas con la conexion SSH, solo esta
reportando las conexiones locales que estoy haciendo

>
> #Algunas reglas que utilizo en iptables no se como será para shorewall
> # al tercer intento de conexión lo baneo por varias horas, ojo que es al
> puerto 22
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> --name SSH
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update
> --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP
>
>
Voy a investigar sobre esto, como lo implemento con shorewall

Gracias


>
> inetnum:        213.155.216.0 - 213.155.223.255
> netname:        BRSI-RU-NET-10
> descr:          Joint Stock Company "Central Telecommunications Company"
> Bryansk Branch
> country:        RU
> admin-c:        SNK6-RIPE
> tech-c:         AAK19-RIPE
> status:         ASSIGNED PA
> mnt-by:         BRSI-RU-MNT
> source:         RIPE # Filtered
>
> person:          Alexander A Kelner
> address:         OJSC Rostelecom, Bryansk branch
> address:         prosp. Lenina, d.47
> address:         241050, Bryansk
> address:         Russia
> phone:           +7 4832 722708
>
> -----Mensaje original-----
> De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En
> nombre de cheperobert
> Enviado el: jueves, 05 de julio de 2012 11:03
> Para: centos-es en centos.org
> Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
>
> Hola a todo, tengo un server con CentOS como firewall con shorewall,
> ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada
> desde internet, no quisiera pensar que es ataque, pero asi parece.
>
> Antes de empezar a realizar acciones me gustaria conocer sus impresiones y
> alguna recomendacion, en el log se puede ver que no se esta permitiendo el
> ingreso, tal como lo tengo restringido, pero no veo que sea normal.
>
> Jul  4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
> MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx
> LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP
> SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul  4 22:45:40 miserver
> kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
> MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx
> LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP
> SPT=49885 DPT=47794 LEN=38
> Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
> MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx
> LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP
> SPT=45503 DPT=47794 LEN=75
> Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
> MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx
> LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP
> SPT=6964 DPT=47794 LEN=75
> Jul  4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
> MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx
> LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP
> SPT=36608 DPT=47794 LEN=75
>
>
> Gracias
>
> --
> Saludos,
> cheperobert
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Saludos,
cheperobert

Más información sobre la lista de distribución CentOS-es