Salut,
Je sais, ça vient d'emule :)
Ce que je souhaiterai savoir si c'est du drop "normal" ( packet pourris,
invalide.... ) ou si c'est qu'il manque une règle pour prendre en charge
le trafic de manière plus complète.
J'ai arrété de logger le flag INVALID et ça semble avoir diminué le
gonflement du syslog...
Du coup, j'ai un autre question, est-il possible de créer un iptableslog ?
Merci de vos réponses
Mourad
Emmanuel Lesouef wrote:
<Message original de Mourad Jaber en date du mardi 23 septembre 2003 à 15:12>
re,
C'est surtout de l'udp :
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=13246 PROTO=UDP
SPT=64101 DPT=51946 LEN=8
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=19588 PROTO=UDP
SPT=64102 DPT=24723 LEN=8
Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253
DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=56625 PROTO=UDP
SPT=64105 DPT=43955 LEN=8
beaucoup moins de tcp :
Sep 23 14:30:41 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=80.11.215.112
DST=81.56.81.22 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=53090 DF PROTO=TCP
SPT=4662 DPT=2546 WINDOW=16968 RES=0x00 ACK SYN URGP=0
Sep 23 14:49:56 hardtop kernel: [IPTABLES] IN=eth0 OUT=
MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=81.50.158.89
DST=81.56.81.22 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=48703 PROTO=TCP
SPT=4662 DPT=1631 WINDOW=0 RES=0x00 ACK RST URGP=0
Tout ca semble provenir des logiciels peer-to-peer. Le 4662 en tcp etant un
des ports d'établissement de connexion. Je suppose que les lignes transmises
via udp proviennent de transfert de fichiers.
Est-ce que ce sont des packets invalides ( le OUT ne semble pas populé )?
Comme avant, mes regles de log ne fonctionnaient pas je les avais
peut-être déjà.... Parce que c'est impressionnant d'avoir soudain 5Mo
de syslog à l'heure pour un accés adsl perso !
Si tu fais du P2P, ne log pas tout les paquets... Tu vas rapidement atteindre
des volumes tres important.
Merci
De rien, j'espere que c'est l'explication.