Forum Linux.général Comprendre les log de shorewall

Posté par .
Tags : aucun
0
29
août
2005
Bonjour

J'utilise shorewall comme pare-feu avec seulement BitTorrent d'autorisé (Mdk10) ainsi que logwatch qui m'envoie un rapport chaque jour.
En fait je voulais être averti de problèmes éventuelles. Le seul hic c'est que j'ai du mal à comprendre les logs que m'envoie logwatch.
Si une bonne âme voulais bien m'éclairer sur les lignes suivantes, je lui en serais reconnaissant.

--------------------- Kernel Begin ------------------------
Dropped 561 packets on interface eth0
From 192.168.0.1 - 561 packets
To 192.168.0.255 - 21 packets
Service: 7741 (udp/7741) (Shorewall:net2all:DROP:,eth0,none) - 21 packets
To 255.255.255.255 - 540 packets
Service: 7778 (udp/7778) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7779 (udp/7779) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7780 (udp/7780) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7781 (udp/7781) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7782 (udp/7782) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7783 (udp/7783) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
Service: 7784 (udp/7784) (Shorewall:net2all:DROP:,eth0,none) - 4 packets
...
...
---------------------- Kernel End -------------------------


Et aussi

--------------------- Connections (secure-log) Begin ------------------------
**Unmatched Entries**
su: pam_succeed_if: requirement "user ingroup wheel" not met by user ""
su: pam_succeed_if: requirement "user ingroup wheel" not met by user ""
su: pam_succeed_if: requirement "user ingroup wheel" not met by user ""
...
...
---------------------- Connections (secure-log) End -------------------------


C'est quoi le groupe wheel?
Et enfin cette fortune me parais plus qu'obscure vu mon niveau d'anglais :)

--------------------- Fortune Begin ------------------------
All this time I've been VIEWING a RUSSIAN MIDGET SODOMIZE a HOUSECAT!
---------------------- Fortune End -------------------------
  • # Re: Comprendre les log de shorewall

    Posté par . Évalué à 1.

    Alors pour shorewall :
    En résumé, il y a eu 561 paquets refusés sur eth0, ou en tous cas qui ont été droppé (tu peux configurer comment tu refuse les paquets, ici apparemment tu DROP)
    Ils viennent tous de 192.168.0.1, et 21 étaient destinés à 192.168.0.255 (l'adresse broadcast du réseau je suppose, ca dépend de ta config réseau) et 540 à 255.255.255.255 (le broadcast "universel", enfin je sais pas le nom exact, mais c'est valable pour toutes les configs réseau). C'est du traffic udp, sur un port régulièrement incrémenté....!?
    Donc pour éclaircir : c'est a priori pas dangereux car c'est sur du broadcast, ca doit venir d'un prog qui cherche qqchose sur le réseau local. Genre peut-etre bittorrent, ou alors simplement un windows et son partage de fichier... ?
    Par contre ce qui est bizarre, c'est que ces paquets soient loggés dans la section "net2all", alors qu'ils viennent de ton réseau local ... t'aurais pas configuré shorewall à l'envers ? Genre t'as copier-coller la config depuis internet où eth1 est le réseau local et eth0 la connexion au net ? (d'ou l'inversion pour ta config ... ?)
    Ou alors je me suis trompé et 192.168.0.1 c'est ton routeur ... ?
    Faudrait en savoir un peu plus sur ta config réseau.

    Les erreurs pour pam, je sais pas trop. Un user sans nom c'est bizarre par contre.
    Le groupe wheel est celui des administrateurs, root en fait partie et certains fichiers systèmes sont modifiables par wheel.

    Et pour la fortune ... c'est un message d'encouragement :)
    • [^] # Re: Comprendre les log de shorewall

      Posté par . Évalué à 1.

      Tout d'abord merci pour tes réponses.

      Pour ma config je suis sous freebox en mode routeur:
      adresse IP de mon ordi: 192.168.0.1
      Passerelle: 192.168.0.254
      Par contre je n'ai jamais rien configurer pour 192.168.0.255.

      Sinon pour la configuration de Shorewall j'ai utilisé tout simplement l'interface graphique de Mandriva (Centre de controle>Sécurité>Config Pare-Feu), et en aurorisant les requêtes d'écho, BitTorrent, j'ai aussi ajouté les ports 8080 et 1234 pour faire fonctionner le freeplayer.
      • [^] # Re: Comprendre les log de shorewall

        Posté par . Évalué à 1.

        L'adresse 192.168.0.255 ne correspond pas à une machine, mais à une adresse que toutes les machines de ton réseau (192.168.0.*) recevront. 255.255.255.255 aussi. C'est normal.

        Pour la config de shorewall c'etait une supposition; je viens de me rappeler que ce n'est qu'une convention de nommage, donc ca se trouve tout va bien pour ca (mais je ne connais pas l'interface de mandrake).

        Si tu veux savoir d'ou viennent ces paquets (enfin, de quelle appli, puisque ca vient effectivement de ta machine), essaye un "netstat -p" qui devrait te donner le pid associé à chaque connexion. Cherche la ligne qui correspond à ces paquets, avec ta machine comme source, et un port autour de 7000, en UDP. D'un autre coté, UDP est un protocole déconnecté, donc chercher une connexion udp ... enfin j'en ai d'affichées chez moi, il doit les garder em mémoire qq temps.
        • [^] # Re: Comprendre les log de shorewall

          Posté par . Évalué à 1.

          "netsta -pa" ne m'as rien donné de particulier, les programmes connectés sont mpc (Music Player Daemon) et master (Postfix).

          En fait comme Logwatch me renvoie les logs de la veille, peut-être que les connections à 255.255.255.255 proviennent de urpmi (j'ai fais une mise à jour via intenet ce jour là) ?
          • [^] # Re: Comprendre les log de shorewall

            Posté par . Évalué à 1.

            Je pense pas qu'urpmi utilise le broadcast. Il faut bien voir que ca provient d'un prog qui (a priori) fait une requete sur ts les ordis du réseau, une recherche sur ton réseau local, quoi.

            Le dernier recourt que je vois c'est un "tcpdump host 255.255.255.255" qui tourne, et de tester différents programme, et dès que ca bouge ... t'as gagné !
            • [^] # Re: Comprendre les log de shorewall

              Posté par . Évalué à 1.

              J'ai fais ta dernière proposition, pour l'instant il n'y a rien mais je vais laisser tourner tcdump pendant quelques temps.

              En tout cas je te remercies de ton aide

              Salut.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.