AntiSpoofing

[HarmonySash]

Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.

[kuvl-vrn]

Цитата

Сообщение от HarmonySash

Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.

Отключи его вообще))

[Donkey]

kuvl-vrn, да да, у человека проблеммы а ты ему "отключи совсем". Вообще Керио отключить чтобы не мешался

[Babah22]

Donkey, не наезжай на нашего уважаемого особо вумного сиса, пожалуйста.

[Donkey]

Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал
Кувл ты тама живой?

[kuvl-vrn]

Цитата:

Сообщение от Donkey

Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал
Кувл ты тама живой?

Угу

[Leshiy]

А чото мне кажецца, что у HarmonySash есть премиленькое правило
Source - Internet
Destination - Any
Service - Any
Action - Permit

Признавайся, есть же?

[Ant]

Кроме этого, бывает очень весело когда провайдер запихивает всех клиентов в один влан.
Ещё веселее когда у кучи клиентов в этом вилане модемы бриджем, а для инета используется пппое поднимаемое на компе, и на сетевухе куда этот момед воткнут стоит галка на протоколе тсп\ип и висит какой-нить ипшнег.

Такчто в логах там можно такие весёлые сцуковещщи углядеть - аш жуть.

[HarmonySash]

Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится

[Leshiy]

Если такого правила нет, то я не понимаю, как винроут может дропать не адресованые ему пакеты? Такое наблюдается только в случае, если есть ани правила, тогда он выхватывает из потока все пакеты и анализирует их, иначе не обращает на них никакого внимания.

Скриншот траффик полиси можно увидеть?

[kuvl-vrn]

Цитата

Сообщение от HarmonySash

Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится

Есть ситуации когда Antispoofing просто банально необходимо отключать))

[HarmonySash]

Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?

[kuvl-vrn]

Цитата

Сообщение от HarmonySash

Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?

Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))

[Leshiy]

Цитата:

Сообщение от kuvl-vrn

Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))

Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137

[kuvl-vrn]

Цитата

Сообщение от Leshiy

Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137

Наприамер тот самый известный msblast использовал 135 или 137 порт. Но чаще всего эти порты используются для DoS-атак. Веселые такие программы))
137 это специфический порт Windows NETBIOS Name Service, (137)

[Leshiy]

kuvl-vrn
IP адреса видим? Каким боком они относятся к внешнему интерфейсу винроута? Почему он реагирует на пакеты, адресованные не ему?

[BlackSnake]

По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...

[HarmonySash]

Цитата

Сообщение от BlackSnake

По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...

Спасибо! Буду узнавать у провайдера, имеет ли место быть такая ситуация, хотя раньше (к данному провайдеру подключен уже давно) подобных вещей в логах не было.

[cRYSMAS]

Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться

[kuvl-vrn]

Цитата

Сообщение от cRYSMAS

Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться

Проанализируй откуда и куда идут запросы и отпишись)