Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
126 lecturas y 7 respuestas
  • Cerrado

    [Editado 9/03/06 00:35]

    El log de sistema del Comtrend CT-536+

    Me aparecen estos datos alguien sabe interpretarlos correctamente.

    Mar 8 23:55:33 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.143.105 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=1779 DF PROTO=TCP SPT=4894 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
    Mar 9 00:05:02 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.228.132 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=4002 PROTO=TCP SPT=9966 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0
    Mar 9 00:14:42 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.160.2 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=3839 PROTO=TCP SPT=32078 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0
    Mar 9 00:24:42 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.160.2 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=62684 DF PROTO=TCP SPT=4443 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

    Gracias.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Efectivamente, no pasa nada malo, gracias a que tienes…

      Efectivamente, no pasa nada malo, gracias a que tienes firewall -FW- (en este caso, el Comtrend), evitando conexiones desde el exterior hacia tu PC.

      En este caso los puertos destinos de tu PC (139, 445) son los típicos de compartición de Microsoft.

      Pero que valgan a quien lo lea de demostración de que efectivamente hay que cerrar (con FW) las ventanas para evitar resfriados (entrada de viruses, troyanos, etc) :-P

        • Cerrado

          ah!, ¿lo dices -acaso- porque la regla de traducción (NAT) de…

          ah!, ¿lo dices -acaso- porque la regla de traducción (NAT) de conexiones entrantes no está establecida en el Comtrend (como en las conexiones salientes) ? [iptables]

          (no estoy completamente seguro de lo que digo)

          Pero casi prefiero que haya reglas explícitas (FW), aunque sobren :-P para rechazar esos intentos de conexión, más pensando que en mi PC sí tengo casi seguro procesos escuchando en esos puertos :-o

          • Cerrado

            [Editado 9/03/06 20:16]

            6
            cuando llega un paquete de una conexion no establecida (que…

            cuando llega un paquete de una conexion no establecida (que no esté en /proc/net/ip_conntrack o el equivalente de cada sistema operativo) el router simplemente no puede saber a qué IP interna va dirigido ese paquete, por lo tanto, se lo "traga" el router. Como mucho se podría conectar con los servicios del router (web, telnet) pero si están desactivados para wan pues tampoco (conecta pero muestra una página en blanco, por ejemplo)

            en el comtrend lo unico que hace activar el firewall es poner una regla para desacartar todo lo que no esté "established". Es decir, en lugar de devolver un paquete tcp RST para indicar que en ese puerto no hay nada pues no se devuelve nada (esta es la diferencia entre closed y stealth en los scans de puertos..)

            • Cerrado

              Bien explicado, como nos tienes acostumbrado, gracias ;-)…

              Bien explicado, como nos tienes acostumbrado, gracias ;-)

              Desconocía el detalle de respuesta tcp RST, aunque casi se podía deducir :-P (porque sí conocía lo de CLOSED vs. STEALTH, recomendable lo segundo: 'no contestar ABSOLUTAMENTE nada').

    • Cerrado

      6

      ignoralo, el router lleva una regla que mas de 6 intentos de…

      ignoralo, el router lleva una regla que mas de 6 intentos de conexion en una hora te mete una entrada en el log. El router se traga esos intentos de conexion, no pasa nada.

      • Cerrado

        Gracias por la información. Ya he podido comprobar que no hay…

        Gracias por la información. Ya he podido comprobar que no hay problema.
        Muchas gracias.