Изпечатай

[BRADATA]

А интернета по какво идва? Мрежовия интерфейс разкачал ли се е?

[runtime]

Оптика до медиа конвертор, а от там с пач кабел до сървъра.
Не нямаше Gateway по едно време, явно им беше паднал сървъра...
Каквото и да направя обаче няма резултат. Ще сменям ядрото и ще ви кажа...

П.С. в iptables има ли начин да се зададе за всички интерфейст  -i ppp* с една дума. Че pptp си прави отделен интерфейст за всяка връзка, а ми се иска да сложа малко правила

Едит: Ааа било с ppp+  

[KPETEH]

Оптика до медиа конвертор, а от там с пач кабел до сървъра.
Не нямаше Gateway по едно време, явно им беше паднал сървъра...
Каквото и да направя обаче няма резултат. Ще сменям ядрото и ще ви кажа...

П.С. в iptables има ли начин да се зададе за всички интерфейст  -i ppp* с една дума. Че pptp си прави отделен интерфейст за всяка връзка, а ми се иска да сложа малко правила

Едит: Ааа било с ppp+  

На мен не ми стана ясно по какъв начин зареждаш модулите за ip_conntrack и пр. ?
Даваш някаква оскъдна информация, от която нищо не става ясно после искаш да ти се помогне е няма как да станат нещата.

П.П. Сетих се нещо я с пуснати правила и прочее дай изход от :

Код:

lsmod

[runtime]

Код:

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

съответно rmmod -f

lsmod
http://pastebin.com/cFWynFWF
Въпреки, че това вече го сверявах...

Оскъдна информация? Ами аз ако знам къде е проблема точно за да дам конкретна информация, щеше да е супер!
Не е в модулите към ядрото, защото след rmmod -f и modprobe трябваше да тръгнат нещата. А и с lsmod съм следил дали са заредени - е там са си.
Не е и в дефинирането на веригите в фаеруола защото нямаше да върви изобщо, а не да се издухва при определени положения.
След флушвана на таблицата също няма промяна
При ifconfig eth+ up/down също няма промяна
При пренабиване на адресите на интерфейсите - няма промяна
В логовете - нищо
Сравнявах веригите преди и след като спря с -L няма промени и всичко си е по мястото
От гейта достъпвам порта на вътрешния комп
Извън локалната порта е филтриран
С tcpdump виждам, че пакетите стигат до сървъра но той не ги натва защото отсреща с tcpdump не логва нищо
Всичко привидно си работи нормално
Snort а и tcpdump не дават индикации за флууд

Нямам шизофренически наклонности  Със сигурност се случва!

Съмняваме ме единствено sysctl да модифицира параметрите по някаква причина или самото ядро да има някакъв бъг.
Въпреки, че с cat съм прегледал почти всичко в /proc/sys/net/ що за параметри има подадени

Ето и проментите по фаеруола и с него не работеше (след рестарт работи отново)
http://pastebin.com/0YgmiBzf

Та сега ми кажи как да ти дам информация, която да е по темата при условие, че идея си нямам какво и как се случва? Днес ме хвана мързела, ама утре ще сменям ядрото, защото за мен само там се случва нещо не по реда си. Върти ми се из главата да няма някоя счупена плочка RAM, ама все щеше да даде индикация... Утре ще пусна и един Memtest за всеки случай.

Извинявай, ама не искам да Ви губя времето и далеч съм от мисълта да крия нещо (не работя във ФБР), просто не смятам за необходимо да пускам информация за неща, които нямат нещо свързано по мое мнение Най-малкото поредица по махане и зареждане на модули в ядрото...


А за да ми е още по-весело, някакъв си CISCO или Mikrotik рутер, с някакво си измислено IP прави марсиански трафик, а аз CISCO рутер или Mikrotik на тоя интерфейс нямам!

martian source 192.168.252.142 from 192.168.252.129, on dev eth2

Код:

nmap  --system-dns 192.168.252.129
PORT     STATE    SERVICE
22/tcp   filtered ssh
80/tcp   filtered http
179/tcp  open     bgp
2000/tcp open     cisco-sccp
8291/tcp filtered unknown

Май ще трябва да ходя да откачам кабели по трасето утре...

А иначе тъй като рестартирах вече, то утре ще симулирам спиране на интернета та да видя дали от там се случва това... И ще драсна...

[KPETEH]

Хъм не мога да преценя с тоя пуснат virtualbox виртуална машина има инсталирана на слакуера или самият той е под виртуална машина ? Защото ако е под виртуалка и е зад NAT и не си му дал пренасочване на портове няма как да се случат нещата при положение че модулите за NAT са ти заредени както трябва поне така ми изглежда изхода от lsmod.

Другото, което се сещам е да добавиш :

Код:

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT -o eth0 --to-source $IP

[runtime]

Не, на виртуалката щях да слагам 2008 сървър да тествам едни работи, но така и не я пуснах... Което ме навежда на мисълта, че бива да я разкарам 

P.S. dmesg
http://pastebin.com/dQvjXBpj

Във syslog освен DHCP leases и марсианския трафик друго фрапантно няма

Хъм, обаче сега виждам в dmesg, че има проблем с ACPI-то... дали е възможно при падане на мрежата да кара нещо ядрото да откача?

Правилото съм го добавил в новия скрипт след забележката
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS

[KPETEH]

Лелее като гледам колко грешки дава със зареждането БИОС-а, а флашван ли е какво е положението ти ще кажеш !

И с риск че се повтарям защото може да не си видял предишния ми пост я добави в скрипта на iptables:

Код:

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT -o eth0 --to-source $IP

[KPETEH]

Лелее като гледам колко грешки дава със зареждането БИОС-а, а флашван ли е какво е положението ти ще кажеш !

И с риск че се повтарям защото може да не си видял предишния ми пост я добави в скрипта на iptables:

Код:

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT -o eth0 --to-source $IP

П.П. Върнах се на първите ти постове тоя snort само за IDS или и за IPS служи в смисъл да не блокира входящите, защото ги възприема като аномалия в протокола ?

П.П. Модераторите извинявайте направих грешка сам се цитирах чак ми стана смешно 

[runtime]

В интерес на истината не съм го барал - така го заварих.
Ще пробвам да видя дали случайно няма по-нова версия да го обновя, но ме съмнява да си губи НАТ-а заради грешки в биоса... По-скоро изпитвам съмнения за ACPI-то, но така или инак ще видим, след обновяване на биос-а.

Снорт е само IDS и зяпам от време на време в snorby за вируси из мрежата.. Главно го бях сложил да логва conficker, че си имах големи ядове с него докато го разкарам... 

[KPETEH]

В интерес на истината не съм го барал - така го заварих.
Ще пробвам да видя дали случайно няма по-нова версия да го обновя, но ме съмнява да си губи НАТ-а заради грешки в биоса... По-скоро изпитвам съмнения за ACPI-то, но така или инак ще видим, след обновяване на биос-а.

Снорт е само IDS и зяпам от време на време в snorby за вируси из мрежата.. Главно го бях сложил да логва conficker, че си имах големи ядове с него докато го разкарам...

Добре вярвам ти че си сложил правилото и виждам че си го променил според твоите описания за iptables, защото аз гледам правилата които си задал в pastebin а те явно са старички и са претърпяли промяна та мисълта ми е остави го да поработи така и виж дали пак ще се издъни. Конфикъра е голяма гад признавам бута се навсякъде само да напипаше уиндоусче и айдееее поизчистен е малко от малко но си съществува и си вирее в мрежата по принцип.
Може да си пробваш мрежата с nmap за да си спокоен:

Код:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.0.1-254

[10101]

Код:

nmap  --system-dns 192.168.252.129
PORT     STATE    SERVICE
22/tcp   filtered ssh
80/tcp   filtered http
179/tcp  open     bgp
2000/tcp open     cisco-sccp
8291/tcp filtered unknown

На първо четене е микротик, 8291 е стандартният порт на winbox-a, за управление на борда.
Пробвай с един winbox... за 100 % сигурност.

Поздрави,

[runtime]

То и да пробвам смисъл няма да има, защото порта е филтриран, ама ей сега отивам да откачам кабели да видя кой са е закачил illegal от моите колегиални шматки

[edmon]

За слака само се шегувам, нали е "най-истинският" линукс...

по темата що не пробваш следното нещо...

гледам имаш скрипт, който прави 50 "безмислени" правила,  които ако
ги махнеш няма да ти се наруши сигурността.

та така

разкарай всичките глупости по модули и сисктл от скрипта и ги сложи в някво рц.локал
не се ли предполага, че трябва да работят всеки път.

после си разкарай всички правила за привидна сигурност, като тези за АУТПУТ-а и
за класфул файруола, за лоши опакети и тн.

така ще стигнеш до чисти правила само за това което наистина
се случва...и да блокираш порт , на който няма нищо, и да не го блокираш резултата е един и същ.

И тогава, когато нещата почнат да работят добавяй вече
тия хиляди правила за лоши пакети, за изходящи заявки и тн. и тн.
от тях явно няма да се откажеш щом си наплющял такъв скрипт

[runtime]

За слака само се шегувам, нали е "най-истинският" линукс...

по темата що не пробваш следното нещо...

гледам имаш скрипт, който прави 50 "безмислени" правила,  които ако
ги махнеш няма да ти се наруши сигурността.

та така

разкарай всичките глупости по модули и сисктл от скрипта и ги сложи в някво рц.локал
не се ли предполага, че трябва да работят всеки път.

после си разкарай всички правила за привидна сигурност, като тези за АУТПУТ-а и
за класфул файруола, за лоши опакети и тн.

така ще стигнеш до чисти правила само за това което наистина
се случва...и да блокираш порт , на който няма нищо, и да не го блокираш резултата е един и същ.

И тогава, когато нещата почнат да работят добавяй вече
тия хиляди правила за лоши пакети, за изходящи заявки и тн. и тн.
от тях явно няма да се откажеш щом си наплющял такъв скрипт

Линукса си е един и същ защото се позва ядро и приложен софтуер, който в случая дали ще го наречеш Ubuntu, Cent OS и т.н. няма значение... Въпрос на подбор на версии е, но както и да е.

Инак мерси за предложението, но и с 3 правила беше същата работа. Сега обнових ядрото и биоса, който беше от 2008 г. та последния е от 2011 и повечето неща изчезнаха от dmesg...

Сега да видим след някой ден какво ще се случи

[edmon]

Линукса си е един и същ защото се позва ядро и приложен софтуер, който в случая дали ще го наречеш

така така ... мисли за приложният софтуер, кърнел всички си имат