Re: log IP externe...

2004-02-17 Par sujet Nicolas Rueff 
Ainsi parla patrice le 044ème jour de l'an 2004:

 bonjour,
 
 j'ai de temps en temps une ligne dans mes logs avec une IP externe (en
 
 SRC), je voulais savoir ce que ça signifie et si je dois m'inquiéter.
 
 # Feb 13 13:16:48 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT=
 
 MAC=0*:05:5d:4*:00:7*:00:*0:68:8*:06:78:*8:00 SRC=8*.36.110.*** 
 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27706 DF
 PROTO=TCP SPT=4818 DPT=4661 WINDOW=16384 RES=0x00 SYN URGP=0 #

Quelle est ton archi réseau ? Tes paquets en sortie sont-ils
correctement masqueradés ? À quoi sert la machine d'où provient le log
(passerelle, connection directe à internet ...) ? Autant de questions
qui trouveront (peut-être) une réponse dans ce fil ...

Ça ne me paraît pas très normal qu'une IP locale soit routée vers toi.
Serait-ce une blague de ton edonkey ?


-- 
  .,p***=b_   Nicolas Rueff
 ?P  .__ `*b   Montbéliard  -  France
|P  .d?'`, 9|   http://rueff.tuxfamily.org
M:  |}   |- H'   [EMAIL PROTECTED]
|  `#?_._oH'   +33 6 77 64 44 80
`H.   ``'   JB [EMAIL PROTECTED] 
 `#?.   GPG 0xDD44DAB4 
   `^~.

We are Penguin. Resistance is futile. You will be assimilated.


pgprc06UTourg.pgp
Description: PGP signature

log IP externe...

2004-02-13 Par sujet patrice 
bonjour,

j'ai de temps en temps une ligne dans mes logs avec une IP externe (en 
SRC), je voulais savoir ce que ça signifie et si je dois m'inquiéter.

# Feb 13 13:16:48 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=0*:05:5d:4*:00:7*:00:*0:68:8*:06:78:*8:00 SRC=8*.36.110.*** 
DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27706 DF PROTO=TCP 
SPT=4818 DPT=4661 WINDOW=16384 RES=0x00 SYN URGP=0 #

merci.
--
patrice.
--
Le chauffeur est la partie la plus dangereuse de l'automobile. Léo Campion

Re: log IP externe...

2004-02-13 Par sujet ARTUS Guillaume 
Salut,

le Fri, Feb 13, 2004 at 01:32:09PM +0100, patrice a ecrit:
 j'ai de temps en temps une ligne dans mes logs avec une IP externe (en 
 SRC), je voulais savoir ce que ça signifie et si je dois m'inquiéter.
 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27706 DF PROTO=TCP 
 SPT=4818 DPT=4661 WINDOW=16384 RES=0x00 SYN URGP=0 #
   
Le port de destination correspond a un serveur edonkey, c'est donc
vraissemblablement une tentation de connection d'un client edonkey sur ta
machine.
Si tu ne fais pas tourner de serveur edonkey, et que tu as une IP
dynamique, c'est assez classique d'avoir ce genre de tentatives au
renouvellement du bail ip.
Tu recupere l'ip d'un ordinateur qui faissait tourner edonkey et du coup
ses anciens clients essayent encore de se connecter...

A mon avis, log classique et benin, surtout si associer au renouvellemt
d'IP...

Tus
-- 
look 'ma a FAQ: 
ftp://ftp.gnu.org/savannah/files/debfr-faq/

   [EMAIL PROTECTED]


signature.asc
Description: Digital signature

Re: log IP externe...

2004-02-13 Par sujet Nicolas Rueff 
Ainsi parla patrice le 044ème jour de l'an 2004:

 bonjour,
 
 j'ai de temps en temps une ligne dans mes logs avec une IP externe (en
 
 SRC), je voulais savoir ce que ça signifie et si je dois m'inquiéter.
 
 # Feb 13 13:16:48 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT=
 
 MAC=0*:05:5d:4*:00:7*:00:*0:68:8*:06:78:*8:00 SRC=8*.36.110.*** 
 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27706 DF
 PROTO=TCP SPT=4818 DPT=4661 WINDOW=16384 RES=0x00 SYN URGP=0 #

Quelle est ton archi réseau ? Tes paquets en sortie sont-ils
correctement masqueradés ? À quoi sert la machine d'où provient le log
(passerelle, connection directe à internet ...) ? Autant de questions
qui trouveront (peut-être) une réponse dans ce fil ...

Ça ne me paraît pas très normal qu'une IP locale soit routée vers toi.
Serait-ce une blague de ton edonkey ?


-- 
  .,p***=b_   Nicolas Rueff
 ?P  .__ `*b   Montbéliard  -  France
|P  .d?'`, 9|   http://rueff.tuxfamily.org
M:  |}   |- H'   [EMAIL PROTECTED]
|  `#?_._oH'   +33 6 77 64 44 80
`H.   ``'   JB [EMAIL PROTECTED] 
 `#?.   GPG 0xDD44DAB4 
   `^~.

We are Penguin. Resistance is futile. You will be assimilated.


pgpdPBeUEOBKY.pgp
Description: PGP signature

Re: log IP externe...

2004-02-13 Par sujet patrice 

  # Feb 13 13:16:48 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT=
  MAC=0*:05:5d:4*:00:7*:00:*0:68:8*:06:78:*8:00 SRC=8*.36.110.*** 
  DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27706 DF
  PROTO=TCP SPT=4818 DPT=4661 WINDOW=16384 RES=0x00 SYN URGP=0 #

 
 Quelle est ton archi réseau ? 

ordinateur unique. (peut etre plus tard un réseau local quand je réussirais à 
l'installer)

 Tes paquets en sortie sont-ils correctement masqueradés ?

??? c'est à dire ?

 À quoi sert la machine d'où provient le log (passerelle, connection directe à 
 internet ...) ?

connection directe... (et pas de réseau local en fonction)

 Ça ne me paraît pas très normal qu'une IP locale soit routée vers toi.

non c'est une IP publique 80.36.110.*** .

 Serait-ce une blague de ton edonkey ?

je n'ai pas edonkey ni aucun autre p2p en fonction depuis bien longtemps...

mais la raison doit étre celle qu'a donné Guillaume.

merci quand même...
--
patrice
--
Si dieu existait, il faudrait l'abolir. - Bakounine -

Re: log IP externe...

2004-02-13 Par sujet Nicolas Rueff 
Ainsi parla patrice le 044ème jour de l'an 2004:

 
   # Feb 13 13:16:48 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0
   OUT= MAC=0*:05:5d:4*:00:7*:00:*0:68:8*:06:78:*8:00
   SRC=8*.36.110.*** DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00
   TTL=112 ID=27706 DF PROTO=TCP SPT=4818 DPT=4661 WINDOW=16384
   RES=0x00 SYN URGP=0 #
 
  
  Quelle est ton archi réseau ? 
 
 ordinateur unique. (peut etre plus tard un réseau local quand je
 réussirais à l'installer)
 
  Tes paquets en sortie sont-ils correctement masqueradés ?
 
 ??? c'est à dire ?

Si la machine d'où provienne est en connexion directe, tu n'as pas
besoin de savoir.

.
.
.

Bon, d'accord.

Le masquerading sert à maquer ton adresse interne (style 192.168.1.x)
avec ton adresse externe (8*.36.110.***) pour que tes jolis paquets
puissent se répandre sur internet, dans le cas d'un réseau local
connecté via une passerelle. Comme tu es connecté directement, le
problème ne se pose pas.

  Ça ne me paraît pas très normal qu'une IP locale soit routée vers
  toi.
 
 non c'est une IP publique 80.36.110.*** .

Si, regarde la DST. A moins que ...
Attend: si ton IP externe est 8*.36.110.***, ce log signifie que
quelqu'un à l'extérieur tente d'envoyer un paquet vers une hypothétique
adresse locale. Mais 8*.36.110.*** n'est pas _ton_ IP publique, non ?

  Serait-ce une blague de ton edonkey ?
 
 je n'ai pas edonkey ni aucun autre p2p en fonction depuis bien
 longtemps...
 
 mais la raison doit étre celle qu'a donné Guillaume.

Je penche également pour cette solution.

-- 
  .,p***=b_   Nicolas Rueff
 ?P  .__ `*b   Montbéliard  -  France
|P  .d?'`, 9|   http://rueff.tuxfamily.org
M:  |}   |- H'   [EMAIL PROTECTED]
|  `#?_._oH'   +33 6 77 64 44 80
`H.   ``'   JB [EMAIL PROTECTED] 
 `#?.   GPG 0xDD44DAB4 
   `^~.

We are Penguin. Resistance is futile. You will be assimilated.


pgp2AMrxvHi5D.pgp
Description: PGP signature

[résolu] Re: log IP externe...

2004-02-13 Par sujet patrice 

 Le masquerading sert à maquer ton adresse interne (style 192.168.1.x)
 avec ton adresse externe (8*.36.110.***) pour que tes jolis paquets
 puissent se répandre sur internet, dans le cas d'un réseau local
 connecté via une passerelle. Comme tu es connecté directement, le
 problème ne se pose pas.

ok... merci.

  non c'est une IP publique 80.36.110.*** .

 Si, regarde la DST. A moins que ...
 Attend: si ton IP externe est 8*.36.110.***, ce log signifie que
 quelqu'un à l'extérieur tente d'envoyer un paquet vers une hypothétique
 adresse locale. Mais 8*.36.110.*** n'est pas _ton_ IP publique, non ?

non, ce n'est pas la même IP...

merci.
--
patrice
--
J'ai froid, dit le pauvre. C'est la saison qui veut çela, dit le riche. - J. 
Renard -