Teleszemetelt kern.log, iptables

Linux-haladó

Szerintetek miért szarja tele a kis RPI a kernel logot? Jó persze látom, hogy az iptables-ben van elkefélve valami de mi? :/

May 14 12:26:12 raspberrypi kernel: [1212600.804880] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:24:4b:03:ca:46:23:08:00:45:00:00:43:00:00:40:00:40:11:b5:bf SRC=192.168.1.155 DST=192.168.1.255 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=50305 DPT=15600 LEN=47

kern.log | iptables

Router Port Forward

Name:
Transmission

Match:
IPv4-tcp, udp
From any host in wan
Via any router IP at port 51444

Forward to:

IP 192.168.1.203, port 51444 in lan

  • 2450 megtekintés

( Oscon | 2017. 05. 14., v – 13:30 )

szvsz ezért:

-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

Ez valami szórt helyi hálón belüli cucc, ami 15600-as udp portra megy az 192.168.1.155-ös címről, de gondolom ezt te is látod.

gányolásos tipp: a bejövő udp forgalmat ami célip-ként /-d 192.168.1.255-re megy/ , azt dobd el a log előtt az INPUT/vagy -t mangle -A PREROUTING/ táblában.

vagy legyen 5/s az 5/min helyett. :-)

--------

Előállított "Vállalati
Internetszennyező"

Köszi azonban mielőtt eldobnám sikerült kideríteni az IP "tulajdonosát" ő pedig nem más mint a hálózaton csücsülő TV. Esetleg így sincs ötleted mit lehetne ezzel kezdeni? (Samsung 55h6500)
Ha más nem, akkor természetesen marad a Workaround, de ha lehet inkább megszüntetném a probléma forrását. :)

szerk.: a kérdéses port: 15600

--
Debian GNU/Linux

Nem biztos, hogy ez probléma, valamilyen üzenetszórásos cuccra használhatja a tv, amit a teljes alhálózat megkap / *.255/, tehát nem célzottan a raspb.

Mivel a tévét valószínűleg nem fogod tudni rávenni, hogy ne szórja tele az alhálót, a raspb. meg úgysem fog tudni mit kezdeni a tévétől kapott udp csomaggal, szerintem kézenfekvő, hogy dobd el. talán a legjobb a -t mangle -A PREROUTING-ban eldobni, így az input tábláig már el se jut.

--------

Előállított "Vállalati
Internetszennyező"

ha csak simán hozzáadom a terminalban akkor meg iptables -L alatt nem jelenik meg.

húha.

Hát ott nem is fog, mert csak iptables -t mangle -L alatt jelenik meg.
iptables -t mangle -L -v -n -el ki is írja, hogy hány csomagot fogott meg a szabály (többek között). az -n nem feltétlenül kötelező, de ha megadod gyorsabban végigfut, mert nem csinál névfeloldást.

A sima iptables -L a filter táblát írja ki (= iptables -t filter -L). Abban egyébként nincs PREROUTING sem.

A -t mangle PREROUTING az -t filter INPUT ill. -t filter FORWARD tábla előtt szűr.

A -t mangle PREROUTING a filter INPUT tábla előtti egyfajta "előszűrő". Ha a -t mangle PREROUTING a csomagot eldobta, akkor annak már annyi, az már nem kerül tovább a filter táblára. Így nem kerül logolásra sem a filter táblás szabályaid szerint, így nem szemeteli össze a kernelnaplót sem.

Valami ilyesmi a sorrend, ha jól emlékszem

I. -t mangle PREROUTING,
II. aztán INPUT vagy FORWARD, és utána
III. -t filter INPUT vagy FORWARD.

Ha a csomag célpontja a te géped, akkor a bejövő csomag az INPUT táblába kerül, ha átirányításra, továbbításra kerül akkor pedig FORWARD táblába a PREROUTING után.

hibát talál a 14. sorban..

Az azért tiszta, hogy fogalmam sincs mit írtál a 14. sorba. :-))

--------

Előállított "Vállalati
Internetszennyező"

Szóval akkor:

"A -t mangle PREROUTING a filter INPUT tábla előtti egyfajta "előszűrő"

Akkor ezért nem tudta értelmezni az iptables.firewall.rules-ba az általad megadott prerouting sort. :) Lényegében akkor ez nem is kerül be semmiféle fájlba, szimplán csak egy előszűrés aminek hatására az adott csomagok nem jutnak el az input-ig, amit a iptables.firewall.rules tárol? nyugtázd már ha így van, szeretném megérteni amit csinálok. :) vagy esetleg a mangle mint tábla, a filter-hez hasonlóan elhelyezhető iptables.firewall.rules-ba?

"iptables -t mangle -L -v -n -el ki is írja, hogy hány csomagot fogott meg a szabály (többek között)"

És valóban:

pi@raspberrypi:~ $ sudo iptables -t mangle -L -v
Chain PREROUTING (policy ACCEPT 12M packets, 9683M bytes)
pkts bytes target prot opt in out source destination
8448 561K DROP udp -- eth0 any anywhere 192.168.1.255 udp dpt:15600
0 0 DROP udp -- eth0 any anywhere 192.168.1.255 udp dpt:15600

Chain INPUT (policy ACCEPT 12M packets, 9683M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 22M packets, 29G bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 22M packets, 29G bytes)
pkts bytes target prot opt in out source destination

magyarán benne van (ha jól látom duplán is :D ) viszont sajnos a logot továbbra is teleszemeteli.

--
Debian GNU/Linux

Közben úgy néz ki rájöttem... :) az iptables.firewall.rules-ban elhelyezhető több tábla is

*filter
*mangle
*nat
...
és ezek alá helyezhetek láncokat/szabályokat :)

viszont sajnos a sudo iptables-restore < /etc/iptables.firewall.rules ellenére továbbra is szemetel pedig szépen beraktam *mangle alá a végét pedig COMMIT-toltam. (restore sem dobott hibát, a sudo iptables -t mangle -L -v hatására pedig ki is írja szépen a PREROUTING statot) rebot nem volt, de gondolom az nem is szükséges.

--
Debian GNU/Linux

Kicsit jobban átnéztem a kern.log fájlt és észrevettem, hogy 2 különböző DST-re küldené a csomagot:

192.168.1.255 és 239.255.255.250

Így már nem szemetel:

-A PREROUTING -i eth0 -p udp -d 192.168.1.255 --dport 15600 -j DROP
-A PREROUTING -i eth0 -p udp -d 239.255.255.250 --dport 15600 -j DROP

Köszi a segítséget és az inspirációt! Azt hiszem ezek után jobban el fogok mélyülni az IPTABLES rejtelmeiben. :R

Köszönöm

szerk.: közben csatlakozott még egy IP: 239.255.255.255

--
Debian GNU/Linux

( ricsip v | 2018. 10. 23., k – 18:39 )

sub

Nekem is Samsung TV csinálja a Lan-on.
--