+ Responder ao Tópico



  1. #1
    napster
    Visitante

    Padrão Alguem pode me ajudar com essa msg

    Boa tarde pessoal, tenho no meu gateway da rede algumas msg do tipo

    TCP: drop open request from 192.168.2.50/2806
    TCP: drop open request from 192.168.2.50/2809
    TCP: drop open request from 192.16.2.215/3273
    TCP: drop open request from 192.16.2.250/2810
    TCP: drop open request from 192.16.3.25/2602
    printk: 113 messages suppressed.

    Alguem pode me dizer o que seria isso, pelo que entendi ele dropou requisõs abertas dos ips acima. mas o pq?

  2. #2

    Padrão

    Deve haver uma regra no seu firewall bloqueando essas portas!



  3. #3

    Padrão

    Qual a sua politica de Firewall ??? Drop ???

    posta ai tuas regras ...

    Falow ...

  4. #4
    napster
    Visitante

    Padrão

    # Ativa proteções do Kernel
    # Spoof
    echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

    # Não responde a ping para broadcast
    echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Source routing
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

    # Ativa SYN Cookies
    echo 0 > /proc/sys/net/ipv4/tcp_syncookies

    # Configura portas de saída para o NAT
    echo "20000 60000" > /proc/sys/net/ipv4/ip_local_port_range

    # Ativa roteamento
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Aumenta o numero de conexoes ip_conntrack
    echo 131072 > /proc/sys/net/ipv4/ip_conntrack_max

    # Módulos iptables
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp

    # Limpa cadeias
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -t nat -F PREROUTING
    iptables -t nat -F POSTROUTING
    iptables -t mangle -F PREROUTING
    iptables -t mangle -F INPUT
    iptables -t mangle -F FORWARD

    # Muda a politica DEFAULT
    iptables -P INPUT DROP

    # Bloqueio aos Brodcasts
    iptables -A INPUT -p UDP -d 0/0 --dport 1900 -j DROP
    iptables -A INPUT -p TCP -d 0/0 --dport 1900 -j DROP
    iptables -A FORWARD -p UDP -d 0/0 --dport 1900 -j DROP
    iptables -A FORWARD -p TCP -d 0/0 --dport 1900 -j DROP
    # Conexões estabelecidas, relacionadas
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # SSH Liberado Somente para Rede
    iptables -A INPUT -p TCP -s 192.168.0.0/24 -d 200.200.200.202 --dport 22 -m state --state NEW -j ACCEPT

    # Libera acesso para aplicação da Caixa
    iptables -t nat -A PREROUTING -p TCP -s 0/0 -d 200.201.160.0/20 --dport 80 -j ACCEPT

    ##Redireciona conexões para o squid
    iptables -t nat -A PREROUTING -p TCP -s 192.168.2.0/24 -d 0/0 --dport 80 -j REDIRECT --to-ports 3128
    iptables -t nat -A PREROUTING -p TCP -s 192.168.3.0/24 -d 0/0 --dport 80 -j REDIRECT --to-ports 3128

    #Liberada Conexões Input no squid
    iptables -A INPUT -p TCP -s 192.168.2.0/24 -d 0/0 --dport 3128 -m state --state NEW -j ACCEPT
    iptables -A INPUT -p TCP -s 192.168.3.0/24 -d 0/0 --dport 3128 -m state --state NEW -j ACCEPT

    # Bloqueio Portas do Windows
    iptables -A FORWARD -p UDP -m multiport --ports 135,137,138,139,445 -j DROP
    iptables -A FORWARD -p TCP -m multiport --ports 135,137,138,139,445 -j DROP
    iptables -A INPUT -p UDP -m multiport --ports 135,137,138,139,445 -j DROP
    iptables -A INPUT -p TCP -m multiport --ports 135,137,138,139,445 -j DROP
    iptables -A OUTPUT -p UDP -m multiport --ports 135,137,138,139,445 -j DROP
    iptables -A OUTPUT -p TCP -m multiport --ports 135,137,138,139,445 -j DROP


    # Habilita ICMP
    iptables -A INPUT -p ICMP -j ACCEPT

    # Descarte dos pacotes
    iptables -A INPUT -p TCP -j REJECT --reject-with tcp-reset



  5. #5

    Padrão

    Acho que tu tá com o debug do iptables/l-7 ativado no kernel.


    Abraços!

  6. #6
    napster
    Visitante

    Padrão

    Citação Postado originalmente por xstefanox Ver Post
    Acho que tu tá com o debug do iptables/l-7 ativado no kernel.


    Abraços!
    Não uso Layer 7



  7. #7

    Padrão

    Mas o kernel possui um debug para o iptables também.

  8. #8
    napster
    Visitante

    Padrão

    Citação Postado originalmente por xstefanox Ver Post
    Mas o kernel possui um debug para o iptables também.
    Então no caso essa msg é normal. na saida dos log, e no dmesg.