Eközben a logban
Miközben piszkáltuk a tűzfal szabályokat, több tucat bejegyzés keletkezett közben az eldobott csomagokról. Vessünk rájuk egy pillantást.
Hirdetés
log print
A teljesség igénye nélkül ide illesztettem egy nagyobb pakk, egymás utáni bejegyzést:
16:36:04 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 118.238.59.114:54559->188.143.120.12:48876, len 48
16:36:29 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 118.238.59.114:54559->188.143.120.12:48876, len 48
16:36:58 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 118.238.59.114:54559->188.143.120.12:48876, len 48
16:38:46 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:38:46 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:38:46 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:38:49 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:38:55 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:39:08 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:39:32 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:39:53 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 126.59.91.198:6880->188.143.120.12:54123, len 129
16:40:01 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 218.250.225.39:35728->188.143.120.12:48876, len 48
16:40:55 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:41:02 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 49.207.14.105:6881->188.143.120.12:54123, len 129
16:41:29 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 49.75.18.157:4781->188.143.120.12:54123, len 90
16:42:47 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 49.75.18.157:4781->188.143.120.12:54123, len 90
16:43:06 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN), 75.148.216.82:56311->188.143.120.12:22, len 60
16:43:06 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN), 75.148.216.82:56325->188.143.120.12:22, len 60
16:43:06 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN), 75.148.216.82:56339->188.143.120.12:22, len 60
16:43:29 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN), 59.51.114.83:6000->188.143.120.12:1080, len 40
16:43:44 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:45:08 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN,ACK), 218.244.135.78:3389->188.143.120.12:52349, len 48
16:45:08 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:45:50 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:46:05 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 59.178.41.149:20480->188.143.120.12:54123, len 90
16:46:11 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:46:22 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:46:26 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto TCP (SYN), 122.225.109.212:6000->188.143.120.12:22, len 40
16:46:27 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:46:29 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
16:46:30 firewall,info FIREWALL input: in:WAN out:(none), src-mac 00:13:11:11:b2:5b, proto UDP, 10.119.60.1:67->255.255.255.255:68, len 336
Amit látunk 10 perc forgalma alapján:
- véletlenszerű bejövő próbálkozások
- SSH kísérlet, ami immáron másképp jelentkezik a logban
- eldobott DHCP broadcast válaszüzenetek, amik nem nekünk szóltak
Továbbiakban én töröltem az eldobott csomagok logolásáért felelős szabályt a korábban deaktivált, invalid csomagok eldobásáért felelős szabállyal együtt.
ip firewall filter remove numbers=4
ip firewall filter remove numbers=3
Miután ennyi időt elpazaroltunk az életünkből, eljutottunk az egyetlen beállított és igazat megvallva valódi haszon nélküli szabálytól, a négy darab, az alapokkal már megbirkózó szabályig. Ez még csak a kezdet, hiszen nem csak a bejövő, hanem az átmenő és kimenő csomagokat is kordában tudjuk tartani. Egy jól belakott szabályrendszer ritkán van 10 szabály alatt, de nem ritkák a 20-30 szabályt magukba foglaló megvalósítások sem.
A cikk még nem ért véget, kérlek, lapozz!