iGW - přístupy z náhodných IP.AD.RE.S:445 (M$-ds)?

[KUBA]

Ahoj, mám malý problémek, nebo spíš brouka v hlavě. Mám síť s asi 60 PC, používám v ní privátní adresaci v rozsahu 10.112.0.0/16. Je tam několik subnetů, 10.112.1.0/24, 10.112.20.0/24 atd... Internetová brána NATuje síť do internetové přípojky.
Na bráně jede Linux, brána má rozhraní eth0 a eth1, eth0 je privátní síť, eth1 je přípojka do internetu. Když pustím tcpdump (je jedno na které rozhraní), tak tam jsou podivné pakety lítající sem a tam a to na portu 445, což je microsoft-ds (info tady).

Vypadá to takhle:

Kód:

17&#58;17&#58;37.651626 IP 10.112.50.109.2303 > 10.112.120.254.microsoft-ds&#58; S 1242644909&#58;1242644909&#40;0&#41; win 16384 <mss 1460,nop,nop,sackOK>

Tohle to vyhazuje při tcpdumpt -i eth0 (teda na privátním rozhraní). Adresa 10.112.50.109 v síti fyzicky existuje a vím kdo to je, adresa 10.112.120.254 v síti neexistuje ani subnet 10.112.120.x neexistuje.

A z druhé strany:

Kód:

17&#58;22&#58;48.612948 IP 12.13.14.15.37469 > 10.112.61.103.microsoft-ds&#58; S 1762161872&#58;1762161872&#40;0&#41; win 16384 <mss 1460,nop,nop,sackOK>

Tady tcpdump -i eth1 (internetové rozhraní routeru - 12.13.14.15 je veřejná IP adresa). Adresa 10.112.61.103 v privátní síti neexistuje a ani subnet 10.112.61.103 neexistuje.


Nejprv jsem myslel, že někdo v síti si nějak mění adresy a snaží se dělat bordel, ale tohle se děje už hodně dlouhou dobu a pořád nevím, čím to je . Máte nějakej nápad, o co jde??

[spy]

google najde pomerne dost odkazu na ruzny mailing listy kde lidi resi stejny problem (pokud sem dobre koukal), taxe tim dystak zkus probrat, treba to k necemu bude

[Rainbow]

Nebude to virus/cerv alebo nejake podobne svinstvo, co nahodne generuje IPcky?

[mISHA]

sice je to takovy kvak do vetru, ale 445 je tusim lsass tudiz sasser.

[Maxik]

uz sem to psal Kubovi na icq at se porozhlidne po vnitrni siti po zdrojovejch IP kery budou nejspis zavirovany sasserem/blasterem. Ja mel doma podobnej "problem" u sebe sem ho odstranil a zvenci zablokoval port 445

[Jezevec]

jj, jinak je to taky bordel u tech, kdoz jsou pripojeni. Privatni IP by se nemela na vnejsim rozhrani vubec objevit = odfiltruj ve FORWARD vsechno co ma zdrojovou privatni IP a leze to ven ze site + klido vsechno s cilem na privatni sit.

Jinak si muzes otestit, traceroute na neexistujici privatni IP kam az to doleze. Me asi pres 5 hoopu, to je tim, ze tam ISP ma default routu a zadnej filtr.

[silenec]

jo tak neco podobneho,mozna stejneho jsem mel taky,delal to nejaky virus/cerv ktery napadl aston.exe a pak delal takovy bordel, screen tady...

[KUBA]

Rozhodl jsem se, že tedy tyto přenosy v celé síti zakážu, předpokládám, že krom MS sdílení a podobných blbostí to žádné jiné služby neomezí, že?

Jo a pak jak to udělat, mám to na routerech zakázat už v PREROUTINGu nebo až na FORWARDu? Myslím si, že PREROUTING bude vhodnější, ale radši bych to měl potvrzeno .