Mikrotik - zaznamy z LOGu

[Aigor]

Ahoj, prosim mistni sitove guru, jestli by nemrkli na nasledujici 4 radky

Kód:

Feb/11/2014 18:02:30 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,PSH), 108.160.163.43:80->192.168.20.8:49187, len 219
Feb/11/2014 18:08:14 firewall,info DROP input: in:1WAN out:(none), src-mac 00:22:15:7e:9a:4f, proto UDP, 192.168.20.10:138->192.168.20.255:138, len 236
Feb/11/2014 18:03:26 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,FIN), 108.160.163.43:80->192.168.20.8:49187, len 40
Feb/11/2014 18:08:18 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,FIN), 23.64.15.73:80->192.168.20.8:57163, len 40

Posledni dobou se mi to tady mnozi a countery jdou na desitky tisic od ledna. Neprijde mi to normalni, navic se net posledni dny chova jako by vypadavalo DNS u providera. Stranky bud jedou rychle, nebo se tvari, ze neexistuji.

Co se me to sem snazi tlacit a jak se tomu aktivne branit?

[Fox!MURDER]

Ahoj, prosim mistni sitove guru, jestli by nemrkli na nasledujici 4 radky

Kód:

Feb/11/2014 18:02:30 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,PSH), 108.160.163.43:80->192.168.20.8:49187, len 219
Feb/11/2014 18:08:14 firewall,info DROP input: in:1WAN out:(none), src-mac 00:22:15:7e:9a:4f, proto UDP, 192.168.20.10:138->192.168.20.255:138, len 236
Feb/11/2014 18:03:26 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,FIN), 108.160.163.43:80->192.168.20.8:49187, len 40
Feb/11/2014 18:08:18 firewall,info DROP input: in:1WAN out:(none), src-mac 00:25:90:20:a2:9b, proto TCP (ACK,FIN), 23.64.15.73:80->192.168.20.8:57163, len 40

Posledni dobou se mi to tady mnozi a countery jdou na desitky tisic od ledna. Neprijde mi to normalni, navic se net posledni dny chova jako by vypadavalo DNS u providera. Stranky bud jedou rychle, nebo se tvari, ze neexistuji.

Co se me to sem snazi tlacit a jak se tomu aktivne branit?

Posledne jsem nekde cet, ze normalnim lidem by se logy z firewallu ukazovat nemely

V zasade tam lovis duchy ...

[Aigor]

Posledne jsem nekde cet, ze normalnim lidem by se logy z firewallu ukazovat nemely

V zasade tam lovis duchy ...

OK, jen do me! Posledni dva dny podelam na co sahnu, tak me to uz nerozhazi.

Nemyslim hned, ze na me utoci cinani.. Uznavam, ze mam dost paranoidne nastaveny pravidla a kdyz mi net zacne zadrhavat a v logu se ve stejnou dobu objevi hromady divnych zaznamu, tak se radeji zeptam

Diky aspon za osvetu

[Fox!MURDER]

1.,3. a 4. radek jsou zrejme odpovedi od nejakeho webserveru. napr. nejaky zatoulany paket, ktery dorazil az po zavreni konekce a tim padem neprosel ani pres ESTABLISHED pravidla a ani skrz NEW.

2. vypada jako SAMBA ... tipl bych ze nekdo u stejneho ISP ma pustenou sambu smerem ven (naprimo pripojeny pocitac napr.)

[Aigor]

diky za objasneni,

ta IP je podle vseho dropbox, tedy OK. Jen takove mnozstvi zatoulanych paketu naznacuje, ze to neni uplne v poradku. Zrejme nejde o pricinu, ale nasledek

SAMBA - je to mozne, mame net tazeny do bytovky optikou, takze od jineho klienta.

K+

[Smitka]

Packet 2 je broadcast, který vysílá windows sdílení (samba), když hledá další stroje v síti (okolní počítače, nebo jak se to jmenuje). Je v pořádku, že je to zahozeno.

U packetu 1 vidíš, že se server pokusil něco poslat aplikaci (PSH) a protože se mu to nepodařilo, tak poslal za chvilku FIN, aby spojení správně uzavřel. Asi opravdu vypršel timeout na udržování spojení (IP-Firewall-Connections-Tracking-TCP Established Timeout), který je v defaultu na 1 den, nebo během té doby došlo k nějakým změnám ve fw/restartu a spojení tím byla na mikrotiku "náslině" ukončena. Jelikož se jedná o zahazování jednotek packetů za minuty, tak bych to neřešil, aplikaci si ráda udělá nové spojení na server.

DNS bych si asi nastavil googlové (8.8.4.4), nebo bych si nastavil mikrotik jako cachovací DNS pro počítače v síti.

[Fox!MURDER]

Jen pro info - FIN paket nedostanes v momente, kdy doslo k chybe. V takovym pripade se posila RST.

PSH flag znamena, ze se maji vysypat buffery v aplikaci.