Непоняный толстый шум во входящем траффике (Ubuntu.9.04)

[condemetrius]

Здравствуйте. Друг-админ сдался, отправил на форумы. Судя по выводу netstat, iptables и прочих, да и вообще - ничего "такого". Однако вдруг начал (и продолжает даже после переустановки системы на пустое место!) лезть входящий траф со скоростью, сопоставимой с толщиной моего инета. Обнаружить системность в появлении кровопийцы не удалось. Если для понимания нужен вывод каких-то команд или ещё что-нибудь такое - пишите, сделаю.

[RandomNT]

Как организован доступ в инет? И как был обнаружен лишний трафик?

[condemetrius]

Как организован доступ в инет? И как был обнаружен лишний трафик?

Доступ в инет от районного провайдера, статический IP, eth1 настроен в /etc/interfaces на inet static и т.д.

Лишний траффик был обнаружен путём наблюдения за апплетом системного монитора.

Кроме того если сделать /etc/init.d/networking restart, то появляется следующая штука, которой раньше не припоминаю:

RTNETLINK answers: No such process
 * if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS mounts

Друг говорит, что вторая строчка это что-то с загрузочными скриптами, а первая вообще хз. Это может быть связано?

[mithrusc]

ну если вы подключены к провайдеру на прямую чего вы еще ожидали то не пойму?
apt-get install iptraf
и смотрите .
и сделайте встроенному фаеру
ufw default deny
а потом разрешайте только то что нужно. но лучше конечно к полноценному iptables прибегнуть там более тонко можно настроить. У меня например в моей сети таким вот "мусорным"  трафиком являются бродкаст пакеты iptv IGMP, разумеется они мне нужны Ну а вы с помощью iptables сможете отсеять все что вам ненужно.

if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS mounts

if-up отвечает за поднятие интерфейса и выполнение юзерских команд при его поднятии, что тут конкретно не понятно? он ждет ответа от eth1 т.е второй сетевой карты перед тем как... NFS наверное NetworkFileSystem она там много чего в себе несет походу...

[condemetrius]

apt-get install iptraf

Симпатичная штука. С её помощью удалось понять, из чего состоит шум. Это по udp какие-то чужие сети на 10.31.где-то.там перебрасываются. Вопрос: а как оно ко мне попало? Или более насущно: чем их попрыскать, чтоб отстали?

С фаерволом я подружился, но он эти странные udp-какашки пропускает мимо, хотя человеческим языком ему говорю deny from any proto udp.

[kroi]

Попробуйте фаерволл настроить через iptables.
http://iptables.ru/iptables.html - очень подробное руководство на русском, хоть и не к самой свежей версии. Повозиться, конечно, придется, но оно того стоит.

[VinnyPooh]

Где то тут уже было подобное.
Или Avahi или клиент dhcp мутит воду, не помню.
Попробуйте убить Avahi в службах (просто удалить пакет  avahi-daemon и перезагрузиться и посмотреть на результаты. )

[mithrusc]

10.31

случаем не из корбины?))

Это по udp какие-то чужие сети на 10.31.где-то.там перебрасываются. Вопрос: а как оно ко мне попало? Или более насущно: чем их попрыскать, чтоб отстали?

ну вы б обьяснили нормально, не я так кто нибуть еще ответит, что там идет а лучше скрин с iptraf

[condemetrius]

Или Avahi или клиент dhcp мутит воду, не помню.

На всякий случай убил обоих. Не помогло.

случаем не из корбины?))

Не знаю. Хуиз по айпи, заметным на снимке, показывает какие-то американские blackhole'ы.

лучше скрин с iptraf

Вот-с:
http://www.picamatic.com/view/5192801_traf1/
http://www.picamatic.com/view/5192805_traf2/

[mithrusc]

судя по второму скрину установленных соединений нет.
вообщем делайте iptables + nat , "шума" не будет этого

[condemetrius]

судя по второму скрину установленных соединений нет.

Установленных может и нет, да и траф только входящий, но эта дрянь (особенно когда за 700 Киб/с) жрёт мощность проца, подозреваю что и канал.

[AnrDaemon]

Пообщайся с суппортом провайдера, с приложением логов.

[condemetrius]

Пообщайся с суппортом провайдера, с приложением логов.

Пров говорит что реально какая-то херня эти пакеты, но т.к. у меня внешний ип, то они соболезнуют. Я вот подумал, может перейти на динамический? Мне от внешнего пользы-то и нет особой.

[AnrDaemon]

Если эта какая-то херня из внешней сети, то отрубить их в ipt, если из внутренней - попросить прова выпрями мозги клиентам или зафильтровать трафик на локальном оборудовании сегментов.

[condemetrius]

Если эта какая-то херня из внешней сети, то отрубить их в ipt, если из внутренней - попросить прова выпрями мозги клиентам или зафильтровать трафик на локальном оборудовании сегментов.

А если я в ipt отрубаю фсёващенах, и действительно всё пропадает, кроме этих левых пакетов? К какому это доктору?