BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL

El log de sistema del Comtrend CT-536+

1
garrocha

Me aparecen estos datos alguien sabe interpretarlos correctamente.

Mar 8 23:55:33 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.143.105 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=1779 DF PROTO=TCP SPT=4894 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 9 00:05:02 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.228.132 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=4002 PROTO=TCP SPT=9966 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0
Mar 9 00:14:42 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.160.2 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=3839 PROTO=TCP SPT=32078 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0
Mar 9 00:24:42 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.223.160.2 DST=87.223.187.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=62684 DF PROTO=TCP SPT=4443 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

Gracias.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Luke

ignoralo, el router lleva una regla que mas de 6 intentos de conexion en una hora te mete una entrada en el log. El router se traga esos intentos de conexion, no pasa nada.

🗨️ 1
garrocha

Gracias por la información. Ya he podido comprobar que no hay problema.
Muchas gracias.

40tacos

Efectivamente, no pasa nada malo, gracias a que tienes firewall -FW- (en este caso, el Comtrend), evitando conexiones desde el exterior hacia tu PC.

En este caso los puertos destinos de tu PC (139, 445) son los típicos de compartición de Microsoft.

Pero que valgan a quien lo lea de demostración de que efectivamente hay que cerrar (con FW) las ventanas para evitar resfriados (entrada de viruses, troyanos, etc) :-P

🗨️ 4
Luke

bueno, aunque no tuviera el firewall sería igual, es la naturaleza del NAT..

🗨️ 3
40tacos

ah!, ¿lo dices -acaso- porque la regla de traducción (NAT) de conexiones entrantes no está establecida en el Comtrend (como en las conexiones salientes) ? [iptables]

(no estoy completamente seguro de lo que digo)

Pero casi prefiero que haya reglas explícitas (FW), aunque sobren :-P para rechazar esos intentos de conexión, más pensando que en mi PC sí tengo casi seguro procesos escuchando en esos puertos :-o

🗨️ 2
Luke

cuando llega un paquete de una conexion no establecida (que no esté en /proc/net/ip_conntrack o el equivalente de cada sistema operativo) el router simplemente no puede saber a qué IP interna va dirigido ese paquete, por lo tanto, se lo "traga" el router. Como mucho se podría conectar con los servicios del router (web, telnet) pero si están desactivados para wan pues tampoco (conecta pero muestra una página en blanco, por ejemplo)

en el comtrend lo unico que hace activar el firewall es poner una regla para desacartar todo lo que no esté "established". Es decir, en lugar de devolver un paquete tcp RST para indicar que en ese puerto no hay nada pues no se devuelve nada (esta es la diferencia entre closed y stealth en los scans de puertos..)

🗨️ 1
40tacos
1