[Félig MEGOLDVA]TP-LINK WR1043 router szemetelése a syslogba

Linux-kezdő

Sziasztok,

Van egy TP-LINK "WR1043 v2 00000000" routerem, amit csak Wifi megosztásra használok, azaz a DHCP servere ki van kapcsolva. A hálózatban van egy Debian 7-es server is, amin szintén nincs DHCP server. A DHCP-t a Linksys routerem végzi.
Amit tapasztalok, hogy valamiért megtalálja a Debian serveremet a router és a LOG file-et el kezdi másodpercenként "szennyezni" kérdésem, hogy mi baja van a routeremnek miért csinálja ezt?

Syslog:

Jul 6 20:06:19 server kernel: [47162.728477] IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:c0:4a:00:XX:57:XX:08:00 SRC=192.168.15.159 DST=255.255.255.255 LEN=201 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=47591 DPT=7437 LEN=181
Jul 6 20:06:22 server kernel: [47165.752484] IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:c0:4a:00:XX:57:XX:08:00 SRC=192.168.15.159 DST=255.255.255.255 LEN=201 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=47591 DPT=7437 LEN=181
Jul 6 20:06:25 server kernel: [47168.776486] IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:c0:4a:00:XX:57:XX:08:00 SRC=192.168.15.159 DST=255.255.255.255 LEN=201 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=47591 DPT=7437 LEN=181

Köszi!

Kalmi

  • 8688 megtekintés

( kalmarr | 2014. 07. 06., v – 20:21 )

Nézegettem a beállításokat és a router a serveremet valamiért felveszi az "ARP List"-be.

ID MAC Address IP Address Status Configure
1 XX-XX-XX-XX-XX-XX 192.168.15.100 Unbound Load Delete

Ha törlöm, akkor vissza jelentkezik rá a szerver....

( kissge | 2014. 07. 06., v – 22:39 )

Próbáld meg, hogy kikapcsolod az USB Settings/Print Servert.

Üdv,
Gergő

( pezo v | 2014. 07. 08., k – 08:09 )

Hú de fura az a hosszú mac... Az nem kettő mac egybegyúrva?
Másrészt ez a logbejegyzés nagyon hasonlít azokhoz, amiket az iptables-szel -j LOG célra küldhetünk... Nem lehet, hogy valami olyannak felelnek meg a csomaggok, amit iptables-szel logoltatni szerettél volna valamilyen más okból?

Kösz, végre ezt is tudom! (az a tizenhat bit a végén sehogy sem akart összeállni)
Igaz, az sem tiszta, hogy broadcast esetében miért lesz FF:FF:FF:FF:FF:FF a forrás MAC address.
Az X-ek meg szerintem onnan jöttek, hogy a kérdező kiixelte őket, ahogy az IP címeket is szokták. ;)

A c0:4a:00:XX:57:XX a forrás (a TP-LINK router) MAC címe.
Az ff:ff:ff:ff:ff:ff a cél, Layer2 broadcast (és a 255.255.255.255 alapján L3 broadcast is).

Az eredeti post szerint is a tp-link router broadcastol a subnetben, a 7437-es UDP portra.
Hirdeti magát; USBoverIP-szerű protokollt akar játszani a hálózat többi tagjával.
Azért írom, hogy "szerű", mert egy neten megtalált fórum alapján valaki írt a tp-link supportnak, hogy pontosan mi ez a protokoll, de elzavarták azzal, hogy nem mondhatják meg :)

Üdv,
Gergő

Bocs, igazad van, én kavarodtam már bele a ki-kicsodába :)

Valami faximum nevű izé (nem igazán derült ki számomra, hogy ez szoftver, szabvány vagy mi) használja ezt a portot egyes oldalak szerint.
De a tplinkekből én minden aljasságot kinézek. ;)

Mondjuk a "Unfortunately I have to inform you that the requested information is not available. Because of that we cannot tell you the information." számomra inkább azt jelenti, hogy a supportnak fogalma sincs róla, a fejlesztőket meg lusták megkérdezni. (vagy ez is egy NSA backdoor :D)

Effektíve azt nem értem, hogy miért kerülnek a log-ba. Ezzel az a bajom, hogy olyan "értelmetlen" bejegyzés kerül be, amivel nem tudok mit kezdeni vele, illetve ha lesz valami hibám, akkor nem fogom észre venni a töménytelen bejegyzés mellett. Így ezek a bejegyzések nem igazán kellenének.
A MAX címet egy kicsi törölgettem, nem szeretek beazonosítható adatokat feltenni :)

( Mcsiv v | 2014. 07. 09., sze – 00:32 )

Szia!

Ahogy korábban említették ez egy broadcast üzenet, éspedig:
Jul 6 20:06:25 server kernel: [47168.776486] IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:c0:4a:00:XX:57:XX:08:00 SRC=192.168.15.159 DST=255.255.255.255 LEN=201 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=47591 DPT=7437 LEN=181

Vagyis UDP -n keresztűl, a 7438-es porton a 192.168.15.159 az adott fizikai hálózaton hírdeti magát. Ennek oka biztos van, nem tudom:)
Ezeket a logbejegyzéseket meg nem a router rakja le, hanem a szerveren levo iptables szabály (nézz szét közöttük és szedd ki, utána nem fog sikítozni).
Az igazat megvalva valami paranoid tűzfal van azon a vason:)

// Happy debugging, suckers
#define true (rand() > 10)

Nyilván nem így, zárójellel. A lényeg az volt, hogy a kifogásolt forgalmat először logolás nélkül eldobod, és a maradékot utána logolod.

Mivel az INPUT lánc jelenlegi szabályairól nem írtál, így a bemásolt FORWARD lánc alapján gondoltam, hogy a LOGDROP-ba akarod bezavarni, ami mint látszik, logol, és utána eldobja. De lehet sima LOG és DROP is. Tehát a "LOG(DROP)" azt akarta jelenteni, hogy vagy LOG, vagy LOGDROP, annak megfelelően, ahogy a jelenlegi szabályaid szólnak.

Aha értem :)

Sajnos most egy másik logot küld a router, másik portra (amit nem tudok azonosítani) :(

Jul 16 23:40:28 server kernel: [60011.869252] IN=eth2 OUT= MAC= SRC=192.168.15.159 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Jul 16 23:42:33 server kernel: [60136.869378] IN=eth2 OUT= MAC= SRC=192.168.15.159 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Jul 16 23:44:38 server kernel: [60261.869550] IN=eth2 OUT= MAC= SRC=192.168.15.159 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

Esetleg érdemes volna olyat tenni az Iptables-be, hogy minden logot- dobjon erről az IP ről?

"Sajnos most egy másik logot küld a router"
A router nem logot küld, hanem csomagokat. Ezek pedig elérnek a Debian szerveredig, az pedig eldobás előtt logolja, ahogy azt beállítottad neki.

"másik portra (amit nem tudok azonosítani)"
Ez nem port, hanem protokoll. Nevezetesen IGMP, azon belül is General Query. És teljesen normális forgalom a routered felől.

"Esetleg érdemes volna olyat tenni az Iptables-be, hogy minden logot- dobjon erről az IP ről?"
Jelenleg is eldobja, ha az INPUT lánc végén DROP-ra fut. De előtte logolod. Téged a log zavar, nem az, hogy már most is el van dobva ez a csomag. Ha nem akarsz róla logot, akkor az előzőhöz hasonlóan küldd DROP-ra még a LOG előtt.