Ниразу не friendly-scanner и iptables

[mikelog]

собственно в sngrep стал наблюдать

Код: Выделить всё

[ ] 702  OPTIONS    100@1.1.1.1               100@1.1.1.1               1     217.172.189.137:5081

ип-шники src меняются, дальше options не выходит дело
в iptables в INPUT разрешены пакеты только от хоста Трантелекома, дефолт полиси в INPUT DROP, вопрос, как такие вызовы могут появлятся?
сразу скажу что дальше eth который смотрит в мир пакеты не вылетят, маршрутов нет. XD но наличие такиой фигни при работаещей иптабле слегка смущает.

[Samael28]

Так хоть настройки Iptables покажите

[gosha]

хз как sngrep но tcpdump & ngrep дампят то что _ДО_ iptables.

[mikelog]

Так хоть настройки Iptables покажите

Код: Выделить всё

hain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
2        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
3        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
4        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
5        0     0 DROP       all  --  *      *       209.239.115.233      0.0.0.0/0
6        0     0 DROP       all  --  *      *       192.186.154.82       0.0.0.0/0
7        0     0 DROP       all  --  *      *       62.138.7.200         0.0.0.0/0
8        0     0 DROP       all  --  *      *       209.126.117.80       0.0.0.0/0
9        0     0 DROP       all  --  *      *       216.52.3.136         0.0.0.0/0
10       0     0 DROP       all  --  *      *       162.210.194.100      0.0.0.0/0
11       0     0 DROP       all  --  *      *       209.126.119.16       0.0.0.0/0
12       0     0 DROP       all  --  *      *       163.172.22.226       0.0.0.0/0
13       0     0 DROP       all  --  *      *       209.126.102.153      0.0.0.0/0
14       0     0 DROP       all  --  *      *       219.113.239.232      0.0.0.0/0
15       0     0 DROP       all  --  *      *       104.243.32.210       0.0.0.0/0
16       0     0 DROP       all  --  *      *       209.126.119.16       0.0.0.0/0
17       0     0 DROP       all  --  *      *       104.243.32.210       0.0.0.0/0
18       0     0 DROP       all  --  *      *       104.243.43.226       0.0.0.0/0
19       0     0 DROP       all  --  *      *       209.222.103.106      0.0.0.0/0
20       0     0 DROP       all  --  *      *       62.138.6.236         0.0.0.0/0
21   12128  679K ACCEPT     all  --  *      *       127.0.0.1            127.0.0.1
22     34M 6465M ACCEPT     all  --  *      *       10.195.136.0/22      0.0.0.0/0
23   8133K 1626M ACCEPT     all  --  *      *       10.60.1.2            0.0.0.0/0
24   1417K  283M ACCEPT     all  --  *      *       ttk-ip          0.0.0.0/0
25     235 17860 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123 dpt:123
26     298 36633 ACCEPT     all  --  *      *       10.70.0.0/16         0.0.0.0/0
27   11828  715K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 7 prefix `DROP Strangers: '
28   11910  732K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

[awsswa]

но вообще то есть еще с пяток сканеров - и их тоже надо банить

[mikelog]

так что DEFAULT policy стоит DROP и + правило INPUT from any to ANY DROP
но по всем DROP правилам нету матчей по friendly-scanner а SNgrep видит, вот что беспокоит

[Samael28]

Мой кусок

Код: Выделить всё

if (search("friendly-scanner|sipvicious|sipcli*|vaxasip|sip-scan|iWar|sipsak")) {

Ну и да, самое правильное - работать только по доменам, а все, что IP в заголовках - банить.

[mikelog]

только одно смущает, что по дропам пакеты не попадают...