|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5005/106.426 14 Sep 2004 16:47:14
To : All
Subject : ipfw deny port realtime notify
--------------------------------------------------------------------------------
Есть сеть порядка 150 компов, обещежитие студентов, машины с виндами. Hа роутере
(4.10-STABLE) закрыты порты 135 и 445, по которым любят черви рапространяться.
Хочется сделать такое - чтоб оно не просто закрывало порты, но и
протоколировало, кто внутри сети заразился и прет на внешку, для его
оперативного отключения. Пока что приходится пользовать trafshow. Имеем такое:
# ipfw show
00215 45629 2190192 deny log logamount 10 tcp from 82.117.64.0/24 to any 135
00215 0 0 deny log logamount 10 udp from 82.117.64.0/24 to any 135
00215 24 1152 deny log logamount 10 tcp from 82.117.64.0/24 to any 445
00215 0 0 deny log logamount 10 udp from 82.117.64.0/24 to any 445
00216 50498 2423904 deny tcp from any to 82.117.64.0/24 135
00216 0 0 deny udp from any to 82.117.64.0/24 135
00216 560 26880 deny tcp from any to 82.117.64.0/24 445
00216 0 0 deny udp from any to 82.117.64.0/24 445
Проблема в том, что в логах остается очень мало информации по сравнению с тем,
что я вижу у trafshow. Видимо сказывается logamount, но почему он тогда
сбрасывается через 10 минут вопреки ману? Кусок лога (grep ipfw):
Sep 8 14:50:58 router /kernel: ipfw: limit 10 reached on entry 215
Sep 8 15:01:05 router /kernel: ipfw: 215 Deny TCP 82.117.64.229:3228
82.117.66.2:135 in via xl1
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
... Гаврила был ВИУРом славным, служил Гаврила HСС...
--- Золотобоpодый дЕД-pедактоp, возpастом 1.1.5-030809 лет
* Origin: The Nuclear Lightning Systems (2:5005/106.426)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
