Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Постоянно опрашивает сеть  (Прочитано 1894 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Постоянно опрашивает сеть
« : 06 Апрель 2008, 20:12:31 »
Осваиваю Ubuntu, настраивал Firestate и заметил что идет постоянный опрос сети - домовой интернет-сети провайдера. Посмотрел утилиткой - в основном это обмен NetBios с компами сети. Попытался найти как запретить NetBios для глобала через eth1 и оставить разрешенным для eth0 - домашней сетки из двух компов (в винде в Аутпосте это решено именно так). Попробовал все файерволы что есть в репозитории - либо сложные и без описания не работают, либо - как у Firestarter - нет такой опции. Пытался гуглить - но в руководствах по iptables не смог такого найти (ну либо не смог понять). Пытался через настройки самбы - но не тоже не заработало. Весь день убил на это, но так ине решил проблемы. :-[
Помогите, плиз. А то трафик то тикает, а он зараза весь платный и дорогой, и тикает довольно быстро.

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #1 : 06 Апрель 2008, 22:26:20 »
Узнаем номера портов
cat /etc/services | grep netbioscat /etc/services | grep microsoft
Блокируем исходящий трафик на эти порты через интерфейс eth1:
iptables -A OUTPUT -p TCP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
iptables -A OUTPUT -p UDP -o eth1 -m multiport --dports 137,138,139,445 -j DROP

А еще в самбе есть параметр
interfacesМожно там четко указать, что хочешь самбу только на одном из интерфейсов.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #2 : 07 Апрель 2008, 08:39:16 »
Узнаем номера портов
cat /etc/services | grep netbioscat /etc/services | grep microsoft
Блокируем исходящий трафик на эти порты через интерфейс eth1:
iptables -A OUTPUT -p TCP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
iptables -A OUTPUT -p UDP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
не помогло, обмен как шел так и идет, в основном по udp. Попробовал удалить все файерволы, снова выполнил эти команды - не помогает, и перегружался... вобщем много раз попробовал   :( В результате экспериментов инет теперь есть только с Firesatrter - без него вообще глухо. А обмен проболжается даже если снять галочку в сетевых настройках с соединения - типа как бы отключить. Помогает только выдергивание кабеля из сетевухи :-) Но тогда и инета нет.

А еще в самбе есть параметр
interfacesМожно там четко указать, что хочешь самбу только на одном из интерфейсов.

Пробовал еще вчера, не помогло ни чуть  :(

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #3 : 07 Апрель 2008, 16:14:15 »
Возникает вопрос, а как проверяете, что обмен прекратился/не прекратился?

Правила в iptables добавляются без ругани?

Покажите
iptables -L
iptables -t nat -L
iptables -t mangle -L
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #4 : 07 Апрель 2008, 18:57:45 »
Возникает вопрос, а как проверяете, что обмен прекратился/не прекратился?
смотрю trafshow в терминале или EtherApe мне сеть рисует :-)

Правила в iptables добавляются без ругани?
да, без ругани

Покажите
iptables -L
iptables -t nat -L
iptables -t mangle -L

Показываю:
$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  ns-ab.biisk.ru       anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  ns-ab.biisk.ru       anywhere           
ACCEPT     0    --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
NR         0    -- !192.168.248.64/26    anywhere           
DROP       0    --  anywhere             255.255.255.255     
DROP       0    --  anywhere             192.168.248.127     
DROP       0    --  anywhere             255.255.255.255     
DROP       0    --  anywhere             192.168.0.255       
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere           
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere           
DROP       0    --  anywhere             0.0.0.0             
DROP       0    --  anywhere             anywhere            state INVALID
LSI        0    -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    0    --  anywhere             anywhere           
INBOUND    0    --  anywhere             192.168.0.1         
INBOUND    0    --  anywhere             altan.biysk.nsu.ru 
INBOUND    0    --  anywhere             192.168.0.255       
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
OUTBOUND   0    --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             192.168.0.0/24      state RELATED,ESTABLISHED
ну и так далее

$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  0    --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

$ sudo iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #5 : 08 Апрель 2008, 07:21:39 »
Цитировать
Показываю:
Уй сколько всего  :)

Предложенные выше правила рассчитаны на пустой фаервол, а у вас там дофига всяких других правил. :)

Вообщем, это не беда.
Видоизменим слегка:
iptables -I OUTPUT -p TCP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
iptables -I OUTPUT -p UDP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
Разница в том, что -A добавляет правило в конец цепочки (цепочки OUTPUT в данном случае), а -I - в начало. Соответственное, если у нас правила  в конце, то  мы до них можем и не добраться, если совпадет какое-нибудь правило раньше.
Попробуйте.

Цитировать
ну и так далее
А там самое интересное далее - цепочка OUTPUT (через нее проходят все пакеты, автором которых является ваша машина).

Можно ее показать отдельно:
iptables -L OUTPUT
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #6 : 08 Апрель 2008, 17:48:50 »
Уй сколько всего  :)
Предложенные выше правила рассчитаны на пустой фаервол, а у вас там дофига всяких других правил. :)
А может их сбросить все в ноль? Мне уже хочется по старой виндузятной привычке переставить систему  :-\

Вообщем, это не беда.
Видоизменим слегка:
iptables -I OUTPUT -p TCP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
iptables -I OUTPUT -p UDP -o eth1 -m multiport --dports 137,138,139,445 -j DROP
Разница в том, что -A добавляет правило в конец цепочки (цепочки OUTPUT в данном случае), а -I - в начало. Соответственное, если у нас правила  в конце, то  мы до них можем и не добраться, если совпадет какое-нибудь правило раньше.
Попробуйте.
Попробовал. Не помогло  :( Теряю все надежды

Цитировать
А там самое интересное далее - цепочка OUTPUT (через нее проходят все пакеты, автором которых является ваша машина).

Можно ее показать отдельно:
iptables -L OUTPUT

Показываю
$ sudo iptables -L OUTPUT
Chain OUTPUT (policy DROP)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            multiport dports domain,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            multiport dports domain,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds
ACCEPT     tcp  --  192.168.248.96       192.168.174.1       tcp dpt:domain
ACCEPT     udp  --  192.168.248.96       192.168.174.1       udp dpt:domain
ACCEPT     0    --  anywhere             anywhere           
DROP       0    --  224.0.0.0/8          anywhere           
DROP       0    --  anywhere             224.0.0.0/8         
DROP       0    --  255.255.255.255      anywhere           
DROP       0    --  anywhere             0.0.0.0             
DROP       0    --  anywhere             anywhere            state INVALID
OUTBOUND   0    --  anywhere             anywhere           
OUTBOUND   0    --  anywhere             anywhere           
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Output'


Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #7 : 08 Апрель 2008, 19:18:58 »
А может их сбросить все в ноль?
Можно попробовать:
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Cоветую почитать
man iptables
на предмет опции -P

Мне уже хочется по старой виндузятной привычке переставить систему
Попробовал. Не помогло  :( Теряю все надежды
Не стоит этого делать. Философия *nix - понять, почему не работает, и настроить.
Тут даже перезагружаться-то не рекомендуется (ну всмысле что можно практически все без перезагрузки сделать - даже драйвера на видеокарту установить).
Так что эту привычку бросай. :)
Тоже из философии *nix: сначала думай, потом делай ;)

Показываю
Ну, вон они наши правила - самые верхние. Все ок. Более того, политика по умолчанию у тебя на OUTPUT стоит DROP, т.е. не выпускать ничего, кроме разрешенных пакетов.

Поэтому... чего-то вы не договариваете. :)

iptables -v -n -L OUTPUT
ifconfig
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #8 : 09 Апрель 2008, 19:24:17 »
Поэтому... чего-то вы не договариваете. :)

iptables -v -n -L OUTPUT
ifconfig

Все сбросил, закрыл UDP и TCP для портов - обмен идет!

$ sudo iptables -v -n -L OUTPUT
Chain OUTPUT (policy ACCEPT 572 packets, 45059 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       udp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           multiport dports 137,138,139,445
    0     0 DROP       tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           multiport dports 137,138,139,445


$ sudo ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:4C:17:6C:8B 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe17:6c8b/64 Диапазон:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:125 errors:0 dropped:0 overruns:0 frame:0
          TX packets:128 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:16883 (16.4 KB)  TX bytes:66898 (65.3 KB)
          Interrupt:18 Base address:0xc00

eth1      Link encap:Ethernet  HWaddr 00:16:EC:98:BC:F4 
          inet addr:192.168.248.96  Bcast:192.168.248.127  Mask:255.255.255.192
          inet6 addr: fe80::216:ecff:fe98:bcf4/64 Диапазон:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2064 errors:0 dropped:0 overruns:0 frame:0
          TX packets:438 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:305525 (298.3 KB)  TX bytes:77894 (76.0 KB)
          Interrupt:20 Base address:0x4800

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:616 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:48696 (47.5 KB)  TX bytes:48696 (47.5 KB)


А вот в подтверждение постоянного обмена что показывает trafshow

168.249.20,netbios-dg 192.168.249.22,netbios-dg udp        241
168.250.22,netbios-ns 192.168.250.23,netbios-ns udp        234     
168.248.74,netbios-dg 192.168.248.95,netbios-dg udp        233
168.250.4,netbios-dg  192.168.250.7,netbios-dg  udp        229
168.168.10,netbios-dg 192.168.168.12,netbios-dg udp        229
168.249.20,netbios-dg 192.168.249.25,netbios-dg udp        204
168.250.22,netbios-dg 192.168.250.23,netbios-dg udp        202
9:5b:b1:c2:42         broadcast                 arp        120     
168.250.17,netbios-ns 192.168.250.19,netbios-ns udp        78
f:ea:1b:59:d1         broadcast                 arp        60
5:e9:3c:c9:ff         broadcast                 arp        60
9:21:96:5b:46         broadcast                 arp        60
7:31:89:54:55         broadcast                 arp        60

и строчек этих все время все больше и больше...  :(

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #9 : 09 Апрель 2008, 20:14:50 »
Уху...

Значит, что я думаю по всему этому поводу.

Интерфейс eth1, который смотрит в провайдера, имеет IP-адрес 192.168.248.96.

Судя по правилам iptables в цепочке OUTPUT трафик, выходящий через интерфейс eth1 и имеющей свой целью указанные порты, должен быть обрезан. Как видно по счетчикам рядом с правилами (первые два столбца - там нули) - правила не были применены ни к одному пакету. То есть твоя машина таких пакетов (трафика) НЕ генерирует (видимо сработали твои предыдущие эксперименты с опцией interfaces в самбе). Это подтверждает также trafshow, который нигде (ни в первом, ни во втором столбце) не показывает твоего IP адреса.

Отсюда делается вывод:
эти пакеты посланы НЕ тобой и предназначены НЕ тебе.

Почему ты их видишь? Потому что trafshow на время своей работы переключает сетевую карту в так называемый promiscuous режим. В этом режиме сетевая карта сама не сверяет IP адреса назначения и посылает операционной системе все пакеты, которые ей пришли по проводу. Видеть эти пакеты бывает нужно в некоторых ситуациях.
Можно запретить trafshow переводить сетевуху в этот режим:
trafshow -p

Второй вопрос, что чужие пакеты делают в проводе, который идет до ТЕБЯ? Но это уже вопрос к провайдеру по поводу настройки его серверов (коммутаторов). Самое интересное, что это означает, что и твои пакеты могут приходить к другим пользователям этого провайдера... а умеющий да их и посмотрит, а там всякое может быть... пароль на E-Mail, например...

Ну и в коцне концов, понятно, что сам ты с этими пакетами более ничего сделать не сможешь. Но я думаю, что все-таки ЭТОТ трафик в статистике провайдера не должен учитываться и, соответственно, не должен оплачиваться.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн altan

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Постоянно опрашивает сеть
« Ответ #10 : 11 Апрель 2008, 18:02:59 »
Спасибо большое, что помогли разобраться! Теперь спокоен по трафику :-) Огромное вам спасибо за кучу ценных советов

 

Страница сгенерирована за 0.062 секунд. Запросов: 22.