firewall - tentando entender o log

[_N3o_]

fala povo!

está tudo funcionando normalmente.. mas queria saber porque mesmo com msn, emule e programas que acessam a net fechados tenho tanto log do firewall! pois eu não tenho nenhum serviço ativo..

*nat
:PREROUTING ACCEPT [19703:2268328]
:POSTROUTING ACCEPT [5408:317644]
:OUTPUT ACCEPT [10397:699612]
-A POSTROUTING -o ppp+ -j MASQUERADE

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Ppp-input - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.254.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -i ppp+ -j ppp-input
-A INPUT -j DROP
-A FORWARD -d 192.168.254.0/255.255.255.0 -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.254.0/255.255.255.0 -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j ACCEPT
-A ppp-input -p icmp -m limit --limit 2/sec -j ACCEPT
-A ppp-input -m state --state INVALID,NEW,UNTRACKED -j LOG --log-prefix "FIREWALL: ALERTA PPP-INPUT " *****
-A ppp-input -m state --state INVALID,NEW,UNTRACKED -j DROP
-A ppp-input -j ACCEPT

4730 1038K LOG all -- any any anywhere anywhere state INVALID,NEW,UNTRACKED LOG level warning prefix `FIREWALL: ALERTA PPP-INPUT '
4730 1038K DROP all -- any any anywhere anywhere state INVALID,NEW,UNTRACKED

May 11 19:54:42 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=221.130.192.106 DST=201.19.146.112 LEN=490 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=46956 DPT=1026 LEN=470
May 11 19:55:19 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=221.208.208.104 DST=201.19.146.112 LEN=486 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=52924 DPT=1026 LEN=466
May 11 19:55:19 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=221.208.208.104 DST=201.19.146.112 LEN=486 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=52924 DPT=1027 LEN=466
May 11 19:59:16 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=60.12.166.200 DST=201.19.146.112 LEN=490 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=45043 DPT=1027 LEN=470
May 11 19:59:16 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=60.12.166.200 DST=201.19.146.112 LEN=490 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=45041 DPT=1026 LEN=470
May 11 19:59:21 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=65.183.12.49 DST=201.19.146.112 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=47716 DF PROTO=TCP SPT=61820 DPT=5900 WINDOW=65535 RES=0x00 SYN URGP=0
May 11 19:59:24 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=65.183.12.49 DST=201.19.146.112 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=48141 DF PROTO=TCP SPT=61820 DPT=5900 WINDOW=65535 RES=0x00 SYN URGP=0
May 11 20:00:01 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=60.11.125.53 DST=201.19.146.112 LEN=490 TOS=0x00 PREC=0x00 TTL=43 ID=0 DF PROTO=UDP SPT=57275 DPT=1026 LEN=470
May 11 20:03:06 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=208.249.46.45 DST=201.19.146.112 LEN=512 TOS=0x00 PREC=0x00 TTL=50 ID=22751 PROTO=UDP SPT=30911 DPT=1026 LEN=492
May 11 20:03:19 saturno kernel: FIREWALL: ALERTA PPP-INPUT IN=ppp0 OUT= MAC= SRC=202.97.238.199 DST=201.19.146.112 LEN=490 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=35578 DPT=1026 LEN=470

abraços!

[alexandrecorrea]

sao pacotes com o stado invalido..

tente tirar o NEW ali.. e veja se diminui o numero de logs...

[_N3o_]

hmmm.. mas isso não seria uma proteção? percebi que muitos desses pacotes são originados de ips de velox também.. minha conexão é adsl! algo explicaria esse numero elevado de pacotes?

o NEW não é uma segurança?

NEW meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions

valeu

[xstefanox]

Por que tu não sniffa a rede utilizando o iptraf e olha por onde eles estão passando?


Abraços!

[_N3o_]

boa idéia..
já até tenho ele instalado