 |
 |
 |
|
Сообщение от tmp0000 
Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.
Провайдер (sampo.ru) сегодня закрыл доступ:
Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.
Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?
Пока что добавил правило в INPUT:
Код:
7 LOG all -- anywhere anywhere LOG level info prefix `Unknown Input '
, но это помогает слабо, ничего необычного заметить не могу. |
|
|
 |
|
 |
поздно пить боржоми...
отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)
Добавлено через 3 минуты
и про INPUT и "ничего необычного"
в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит.
тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.