Скан портов роутера через шлюз. Как?

[Enelar]

Домашняя сеть у меня включает несколько сегментов, разделенных на подсетки. Все машины кроме ноута под ubuntu.
На ноуте ubuntu/vista
Топология.
От провайдера сеть идет к "шлюзу" - моему старичку с двумя картами.
От локальной карты шлюза проводок к свитчу, от него ко всему остальному по квартире. Включая роутер DLINK DAP-1150(За ним только ноут)
Об этом типе речь и пойдет.

Шлюз настроен на проброс соединений от любого устройства в доме в интернет.
Тк на wifi поставлен мак фильтр включающий только одну запись, подключиться от меня к интернету можно только воткнув кабель в свитч(ну или хакнув WPA и подобрав мак, что я исключаю в связи с недавной покупкой роутера). Свитч в моей комнате, я бы заметил лишний провод.
Далее с шлюза стоит проброска портов из интернета ко мне, но на строго определенные машины(с статическим локальным ip), которые подключенны через свитч напрямую(не через роутер - это главное).

Таким образом я свято верю, что получить доступ к моему роутеру из интернета можно только взломав один из серверов(что вроде как не произошло) или через вирусы на ноуте(что тоже исключается - недавно переставил). Прямого доступа нет.
Теперь барабанная дробь... Смотрим логи роутера...

Oct 10 18:30:20    Xmas port scan attack from WAN (ip:195.239.111.175) detected.
Oct 10 18:30:06    Xmas port scan attack from WAN (ip:195.239.111.175) detected.
Oct 10 18:29:52    Xmas port scan attack from WAN (ip:195.239.111.175) detected.
Oct 10 18:29:38    Xmas port scan attack from WAN (ip:195.239.111.175) detected.
Oct 10 18:29:20    Xmas port scan attack from WAN (ip:195.239.111.175) detected.
Oct 10 18:29:11    Xmas port scan attack from WAN (ip:95.189.55.0) detected.
Oct 10 18:29:05    Xmas port scan attack from WAN (ip:83.167.90.34) detected.
Oct 10 18:28:58    Xmas port scan attack from WAN (ip:178.234.145.114) detected.
Oct 10 18:28:51    Xmas port scan attack from WAN (ip:64.12.24.117) detected.
Oct 10 18:28:51    Xmas port scan attack from WAN (ip:83.167.90.34) detected.

В это время я находился в комнате.
Вот так вод(через д). Под подозрение падают uTorrent/Skype на ноуте, но почему тогда внешние ip.(К слову сказать не принадлежащие ни моей сетке 15.20.29.0, ни сетке провайдера 213.21.0.0)

[Sly_tom_cat]

Вам же написали:
Xmas port scan attack from WAN
кто-то из интернета засей ваш IP (полезно на роутере отключить отклик на ping) и пытается посканировать порты.

Собственно - ничего необычного - рюбой роутер подключенный к интернету если внем поставлен уровень логинга пишущий в лог атаки будет показывать такую картинку как у вас. Мой тоже такое писал в лог пока я не отключил логгинг атак, а ведь у меня DHCP адрес провайдерской сети и в нет я через NAT на стороне провайдера выхожу.

[AnrDaemon]

DAP-1150 это не роутер, это точка доступа.
Так что твой пост вообще не понятен никому.

[Enelar]

Хм. Попытаюсь внести ясность.
Роутер не подключен к интернету. (Ну хорошо, точка доступа, но она может работать в режиме роутера).
Он подключен через компьютер на Ubuntu, который не пропускает соединения из интернета до него.
В этом и вопрос, как такие записи могут вообще появиться

[fisher74]

(Ну хорошо, точка доступа, но она может работать в режиме роутера).

Это как? научите.

[AnrDaemon]

Значит, что-то пропускает. Xmas scan - это скан (флуд?) пакетами с выставленными всеми вообще флагами (полный идиотизм).

ifconfig -a
и
iptables-save

с маршрутизатора(да-да, компа...) покажи.

P.S.
DAP-1150 в режиме маршрутизатора работать не умеет.
Умеет только её сестричка - 1150/RU. Недоговорил, вот и пошло недоразумение.

[Enelar]

Значит, что-то пропускает. Xmas scan - это скан (флуд?) пакетами с выставленными всеми вообще флагами (полный идиотизм).

ifconfig -a
и
iptables-save

с маршрутизатора(да-да, компа...) покажи.

P.S.
DAP-1150 в режиме маршрутизатора работать не умеет.
Умеет только её сестричка - 1150/RU. Недоговорил, вот и пошло недоразумение.

У меня нет /RU, буду знать что такой.

administrator@el-gateway:~$ sudo ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:15:58:47:c6:1a
          inet addr:213.21.*.*  Bcast:213.21.255.255  Mask:255.255.0.0
          inet6 addr: fe80::215:58ff:fe47:c61a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11263528 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5589565 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1804780265 (1.8 GB)  TX bytes:799232934 (799.2 MB)
          Interrupt:19 Base address:0xa800

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:18:84:c0
          inet addr:15.20.29.1  Bcast:15.20.29.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe18:84c0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5540332 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8574373 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:815851756 (815.8 MB)  TX bytes:1549083699 (1.5 GB)
          Interrupt:18 Base address:0xac00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2381514 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2381514 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:223611838 (223.6 MB)  TX bytes:223611838 (223.6 MB)

vboxnet0  Link encap:Ethernet  HWaddr 0a:00:27:00:00:00
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

administrator@el-gateway:~$

administrator@el-gateway:~$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Sun Oct 10 20:57:40 2010
*mangle
:PREROUTING ACCEPT [17283662:15315528972]
:INPUT ACCEPT [2460746:4515807787]
:FORWARD ACCEPT [14089529:10732804842]
:OUTPUT ACCEPT [2397495:4498820456]
:POSTROUTING ACCEPT [16498681:15233897618]
COMMIT
# Completed on Sun Oct 10 20:57:40 2010
# Generated by iptables-save v1.4.4 on Sun Oct 10 20:57:40 2010
*nat
:PREROUTING ACCEPT [870112:88451615]
:POSTROUTING ACCEPT [17235:1640624]
:OUTPUT ACCEPT [27761:3127793]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 12321 -j DNAT --to-destination 15.20.29.11:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3724 -j DNAT --to-destination 15.20.29.11:3724
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 15.20.29.11:8085
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11030 -j DNAT --to-destination 15.20.29.11:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20030 -j DNAT --to-destination 15.20.29.20:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 15.20.29.11:5901
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 15.20.29.11:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20036 -j DNAT --to-destination 15.20.29.20:3306
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Oct 10 20:57:40 2010
# Generated by iptables-save v1.4.4 on Sun Oct 10 20:57:40 2010
*filter
:INPUT ACCEPT [66235:5620764]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2396333:4496729493]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 30 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP
-A FORWARD -d 15.20.29.0/24 -i eth1 -j DROP
-A FORWARD -s 15.20.29.0/24 -i eth1 -j ACCEPT
-A FORWARD -d 15.20.29.0/24 -i eth0 -j ACCEPT
COMMIT
# Completed on Sun Oct 10 20:57:40 2010
administrator@el-gateway:~$

[AnrDaemon]

В nat добавь первым правилом
-A PREROUTING -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
а в остальные правила PREROUTING допиши "-m conntract --ctstate NEW"
Это должно остановить инвалидные пакеты.

*filter
Первым правилом в FORWARD поставь
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -d 15.20.29.0/24 -i eth1 -j DROP
Бессмысленно в свете DEFAULT DROP

-A FORWARD -d 15.20.29.0/24 -i eth0 -j ACCEPT
Никогда так не делай! Скорее всего именно отсюда у тебя и флуд пробивается.
Замени её на
-A FORWARD -i eth0 -m conntrac --ctstate DNAT -j ACCEPT

P.S.
А адресация у тебя в локальной сети та ещё...
http://whois.arin.net/rest/net/NET-15-0-0-0-1

[Unreg]

да, в глаза бросается

$ whois 15.20.29.0/24

(Нажмите, чтобы показать/скрыть)

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 15.20.29.0"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=15.20.29.0?showDetails=true&showARIN=false
#

NetRange:       15.0.0.0 - 15.255.255.255
CIDR:           15.0.0.0/8
OriginAS:
NetName:        HP-INTERNET
NetHandle:      NET-15-0-0-0-1
Parent:
NetType:        Direct Assignment
NameServer:     NS4.HP.NET
NameServer:     NS2.HP.NET
NameServer:     NS6.HP.NET
NameServer:     NS3.HP.NET
NameServer:     NS1.HP.NET
NameServer:     NS5.HP.NET
RegDate:        1994-07-01
Updated:        2009-06-19
Ref:            http://whois.arin.net/rest/net/NET-15-0-0-0-1

OrgName:        Hewlett-Packard Company
OrgId:          HP
Address:        3000 Hanover Street
City:           Palo Alto
StateProv:      CA
PostalCode:     94304
Country:        US
RegDate:
Updated:        2008-09-03
Ref:            http://whois.arin.net/rest/org/HP

OrgTechHandle: HH15-ORG-ARIN
OrgTechName:   Hewlett-Packard Company
OrgTechPhone:  +1-800-524-7638
OrgTechEmail:  ipaddr@hp.com
OrgTechRef:    http://whois.arin.net/rest/poc/HH15-ORG-ARIN

RAbuseHandle: NAR-ARIN
RAbuseName:   Network Abuse Response
RAbusePhone:  +1-650-857-5120
RAbuseEmail:  abuse@hp.com
RAbuseRef:    http://whois.arin.net/rest/poc/NAR-ARIN

RTechHandle: HH15-ORG-ARIN
RTechName:   Hewlett-Packard Company
RTechPhone:  +1-800-524-7638
RTechEmail:  ipaddr@hp.com
RTechRef:    http://whois.arin.net/rest/poc/HH15-ORG-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

[Enelar]

administrator@el-gateway:~$ sudo iptables -A FORWARD -i eth0 -m conntrac --ctstate DNAT -j ACCEPT
iptables v1.4.4: Couldn't load match `conntrac':/lib/xtables/libipt_conntrac.so: cannot open shared object file: No such file or directory

[fisher74]

administrator@el-gateway:~$ sudo iptables -A FORWARD -i eth0 -m conntrac --ctstate DNAT -j ACCEPT
iptables v1.4.4: Couldn't load match `conntrac':/lib/xtables/libipt_conntrac.so: cannot open shared object file: No such file or directory

Ну, видимо, такого модуля действительно нет. Есть conntrack

[AnrDaemon]

Нубывает. По памяти писал.

[fisher74]

В твоём сообщении явно видна опечатка. ТС должно было насторожить разнообразие разнописаний.