¿Qué significan estos mensajes de alerta en el log del Comtrend?
Date/Time: Mar 1 13:59:12
Facility: user
Severity: alert
Message: kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.218.198.200 DST=87.218.50.133 LEN=40 TOS=0x00 PREC=0x00 TTL=124 ID=3078 PROTO=TCP SPT=19887 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Me ha llegado el router por fin esta mañana y no sé a qué se deben. Estaba acostumbrado al 3Com...
Un saludo!
Intentos de conexion a tu puerto tcp 139 desde la IP 87.218.198.200 :-o
mmmmm
Lo intenta y lo consigue o se bloquea el intento? Necesito más datos ¿Cómo puedo saber quién es?
Gracias!
Pues si tienes el puerto 139 cerrado en el router que seria lo suyo no pasa nada, a mi al cabo del dia no sabria la cantidad de intentos de conexion que tengo a los puerto 139, 135 y mass, pero como los tengo cerrados pues tranquilo.
¿Cómo se cierran puertos en el Comtrend? Sé cómo se abren, pero no cómo cerrarlos...
¿donde se mira eso?
management - system log
ignoralo, son solo avisos de mas de 6 paquetes SYN en una hora.. ruido de blaster y similares. Se lo traga el router no pasa nada. Esta es la regla de iptables que lo crea
iptables -A INPUT -i ppp_8_35_1 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Pero haciendo un escáner de puertos he visto que tengo algunos abiertos. ¿Cómo puedo cerrarlos?
