[CentOS-es] Shorewall me genera muchos log en /var/log/messages

Fernando Rojas De La Torre fernando.rojas en uniondetula.gob.mx
Jue Jul 5 12:08:00 EDT 2012


Qué ventajas y desventajas tiene hacerlo directamente con iptables contra hacerlo mediante fail2ban?
-- 
Enviado desde mi teléfono Android con K-9 Mail. Disculpa mi brevedad

Pablo Flores Aravena <pabflore en uchile.cl> escribió:

Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall).
Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son
distribuidos en el mundo o pueden estar utilizando redes Thor o similar para
que no sean indentificados. Todos atacan al mismo puerto, que corres ah�??

El log que te tira no veo el puerto al que intentan acceder.
Y /var/log/secure como esta?

#Algunas reglas que utilizo en iptables no se como ser� para shorewall
# al tercer intento de conexi�n lo baneo por varias horas, ojo que es al
puerto 22
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update
--seconds 36000 --hitcount 3 --rttl --name SSH -j DROP



inetnum: 213.155.216.0 - 213.155.223.255
netname: BRSI-RU-NET-10
descr: Joint Stock Company "Central Telecommunications Company"
Bryansk Branch
country: RU
admin-c: SNK6-RIPE
tech-c: AAK19-RIPE
status: ASSIGNED PA
mnt-by: BRSI-RU-MNT
source: RIPE # Filtered

person: Alexander A Kelner
address: OJSC Rostelecom, Bryansk branch
address: prosp. Lenina, d.47
address: 241050, Bryansk
address: Russia
phone: +7 4832 722708

-----Mensaje original-----
De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En
nombre de cheperobert
Enviado el: jueves, 05 de julio de 2012 11:03
Para: centos-es en centos.org
Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages

Hola a todo, tengo un server con CentOS como firewall con shorewall,
ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada
desde internet, no quisiera pensar que es ataque, pero asi parece.

Antes de empezar a realizar acciones me gustaria conocer sus impresiones y
alguna recomendacion, en el log se puede ver que no se esta permitiendo el
ingreso, tal como lo tengo restringido, pero no veo que sea normal.

Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx
LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP
SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver
kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx
LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP
SPT=49885 DPT=47794 LEN=38
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx
LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP
SPT=45503 DPT=47794 LEN=75
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP
SPT=6964 DPT=47794 LEN=75
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP
SPT=36608 DPT=47794 LEN=75


Gracias

--
Saludos,
cheperobert
_____________________________________________

CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es


_____________________________________________

CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es



Más información sobre la lista de distribución CentOS-es