Voce del registro del firewall: serve aiuto nell'interpretazione

0

Recentemente ho installato un firewall UTM hardware. Il registro del firewall mostra questa voce ogni 20 secondi:

/var/log/packetfilter/2014/09/packetfilter-2014-09-30.log.gz:2014:09:30-12:06:15
utm ulogd[11342]:
id="2001"
severity="info"
sys="SecureNet"
sub="packetfilter"
name="Packet dropped"
action="drop"
fwrule="60002"
initf="eth1"
outitf="eth0"
srcmac="0:20:4d:81:60:5e"
dstmac="68:5:ca:2a:12:ba"
srcip="192.168.1.28"
dstip="144.76.96.172"
proto="6"
length="52"
tos="0x00"
prec="0x00"
ttl="127"
srcport="49242"
dstport="5222"
tcpflags="SYN"

Quello che capisco è che l'host x.x.x.28 sta inviando un pacchetto a 144.76.96.172 e viene eliminato. Questo è ok e come progettato dal punto di vista dei firewall.

Ma l'host .28 non dovrebbe inviare nulla a questo indirizzo IP.

Come posso identificare l'applicazione o il processo che sta inviando questo pacchetto? Quali strumenti posso usare?

Aggiunti ulteriori informazioni come richiesto nel primo commento:

But you've not told us anything about the architecture of the network or the hosts.

  • Rete LAN 192.168.1.x

  • gateway e DHCP: 192.168.1.1

  • Traduzione NAT in WAN

Have you verified that 192.168.0.0 traffic only comes from your internal network?

Il firewall ha solo una LAN da guardare. Fa il DHCP e il NAT. È configurato correttamente. Ma non so come posso verificarlo.

have you verified that the MAC address is appropriate to the srcip? What OS is running at the srcip?

Ho verificato ed è. Vinci 7 64 bit

    
posta caliph 01.10.2014 - 15:11
fonte

1 risposta

0

Questa voce specifica anche che questa macchina sta tentando di stabilire una connessione TCP alla porta 5222 sul sistema remoto. TCP 5222 è, di solito, XMPP (Jabber).

Il passaggio successivo è di solito andare sulla macchina e scoprire quale applicazione sta tentando di aprire quella connessione e se è legittima o meno. Tuttavia, il modo in cui lo fai dipende interamente dal sistema operativo che usi.

    
risposta data 01.10.2014 - 15:20
fonte

Leggi altre domande sui tag