Sziasztok!
A log -okat sajnos nemértem igazán.
Mit jelent ez a kern.log -ban?
Oct 11 15:22:42 sg077 kernel: [ 55.720322] csak bejonne: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:ittarouterMACszamavan SRC=192.168.0.1 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=4096 PROTO=UDP SPT=67 DPT=68 LEN=308
És ez?
Oct 11 15:25:42 sg077 kernel: [ 240.354432] Inbound IN=eth0 OUT= MAC=ittagepesarouterMACszamavan SRC=195.228.75.188 DST=192.168.0.192 LEN=349 TOS=0x00 PREC=0x00 TTL=57 ID=2415 DF PROTO=TCP SPT=80 DPT=49057 WINDOW=32767 RES=0x00 ACK PSH URGP=0
Kénytelen voltam venni egy routert. Nemcsak a biztonság inspirált erre. Addig ugyanis a második (Windows-os) gép nem csatlakozott az internetre. Időközben azomban arra a gépre is szükség lett, tettem rá ezért a win mellé egy linux-t. (A win csak játékra kell, s véletlenül se engedem a hálózatra.)
Mi sem egyszerűbb a hálózat megosztására mint egy router. Hát vettem egyet. Kritérium csak hogy olcsó és magyarul tudó legyen. Ilyen a D-link DI-604-es routere. De, egy kicsit elébe vágtam a dolgoknak....
Az Ubuntumat "csak" a Firestarter "őrizte". Igaz, nem állítottam fel szabályokat, de nem is igen volt miért, olyan kevés számú bejönni szándékozó volt. Történt azomban hogy szolgáltatót váltottam. Az addigi "rádiós" internet helyett ADSL-re váltottam (az ok itt nem lényeges). Azon nyomban megváltozott a helyzet. Az első felcsatlakozásom óta állandóan bombázzák a portjaimat! Úgy képzeljétek el, hogy egyetlen óra alatt közel kettőszáz (200) betörési kisérlet volt! Ezek 80%-át a Firestarter "Komoly" betörési kisérletnek értékelte. (Nem, nem látogattam szex oldalakat nem is töltöttem le semmilyen illegális dolgot se, sose érdekeltek ezek és nem is torrenteztem. Ezt azért említem, mert a wireless internetem mellett a torrent vonzotta nagyon a betörőket.)
Tehát megvettem a routert. Sikeresen beüzemeltem, jól működött minden szempontból. Örültem, hiszen így dupla a védelmem....
Ugye, hallottatok arról hogy a routerek tűzfalát is feltörik (vagy megkerülik mittudomén...)? Ezértis, javasolják több helyen, hogy állítsunk be jelszót a routeren, mert csak az "admin" kevés lehet adott esetben. Nos én nem bonyolítottam és nem állítottam be jelszót. Minek, - gondoltam, - hisz kétszeres a védelmem.... De, hamarosan tapasztaltam, hogy mekkorát tévedtem!
Úgy találtam, jól működik a két tűzfal így együtt, a Firestarter egyetlen betörési kisérletet se jelez, tehát a router teszi a dolgát. Hát, így volt ez egy darabig. Nem sokára ugyanis, megjelent egy-egy "Piros jelzés", a Firestarter megintcsak Komoly betörést blokkolt.... S azután ez nap mint nap megismétlődött. Mondom ez így nem jó, hát jelszót állítottam be a routeren. Azután hosszabb ideig semmi. Majd, az előbbi megismétlődött....
Ismét mondom, ez így nem jó, hát állítsunk fel szabályokat a Firestarter-ben. De lám, már van is! Csakhogy azt nem én csináltam!!! Mint említettem, korábban semmilyen szabályt nem állítottam be. Még véletlenül se.
A másvalaki-csinálta-szabály egy IP-re vonatkozott (80-al vagy 81-el kezdődött), miszerint engedélye van állandó kapcsolatra. Na, még ez kell, mondom én.
Csináltam egy iptables scriptet. Egyszerű volt, de a semminél több. S működött is. De azért ezekután már egy kicsit komolyabbra vágytam. Ezidőtájt jelent meg a Budacsik cikke a fórumon. Érdekelt, hisz addig kevéssé foglalkoztam az iptablessel. Csinálni akartam az enyémnél egy kicsit jobbat. Mégse tettem, mert közben ráleltem a cvk iptablesére, ugyancsak itt a fórumon. Alig egy keveset változtattam, s máris használatba tudtam venni. Köszi, cvk! Jóllehet ez is egyszerűnek számít, de jól működik, attól kezdve azt használom a Firestarter helyett.
Előbb nem találtam hova rakja a log-ot, de hamar rájöttem (azt hiszem) a kern.log az.
S a napokban megjelent a log-ban az ami fent látható. Az elsőn látszik - ha jól értelmezem, - hogy a csomagszűrő eldobta. A második viszont, (és azóta több is van ilyen,) mintha bejött volna. Nem értem....
Többszörösen is nem értem. A routert 18 karakterből álló jelszó védi. Azon mégis átjön, az tuti. Mint mondtam, nem értem, de ha mégis úgy van, hogy az iptablesen is "átlát" azt vajon hogyan teszi?
Nem tudom mit tudhat tenni a linux-omon akárki ha bejön is, hiszen nincs root joga. Bár lehet hogy ma már az se számít (?). Akár így, akár úgy, ugyan má' ne akarjon kutakodni nálam senki, még akkor se, ha tényleg és valóban, semmi rejtegetnivalóm nincs.
Az internet felől százszor ellenőriztem le, magyar és idegen helyekről is, - kivétel nélkül minden portom (így ugye a router portjai) zárt, mi több láthatatlan. Tudom, ma már ez nem jelent sokat, csupán azért említem, merthogy szerintem jó a routerem és ímmár a csomagszűrőm is. Előfizetésem a GTSDatanet-nél van, beszéltem is velük ez ügyben, de finomat rám hárították, vagyis csakis az én gondom a gondom.
Persze, lehet hogy az idézett (második) log bejegyzés nem is bejutott kutakodót takar, s én csak aggódok miatta. Hát ezt szeretném tudni. Segítenétek?
gadol