Recentemente ho installato un firewall UTM hardware. Il registro del firewall mostra questa voce ogni 20 secondi:
/var/log/packetfilter/2014/09/packetfilter-2014-09-30.log.gz:2014:09:30-12:06:15
utm ulogd[11342]:
id="2001"
severity="info"
sys="SecureNet"
sub="packetfilter"
name="Packet dropped"
action="drop"
fwrule="60002"
initf="eth1"
outitf="eth0"
srcmac="0:20:4d:81:60:5e"
dstmac="68:5:ca:2a:12:ba"
srcip="192.168.1.28"
dstip="144.76.96.172"
proto="6"
length="52"
tos="0x00"
prec="0x00"
ttl="127"
srcport="49242"
dstport="5222"
tcpflags="SYN"
Quello che capisco è che l'host x.x.x.28 sta inviando un pacchetto a 144.76.96.172 e viene eliminato. Questo è ok e come progettato dal punto di vista dei firewall.
Ma l'host .28 non dovrebbe inviare nulla a questo indirizzo IP.
Come posso identificare l'applicazione o il processo che sta inviando questo pacchetto? Quali strumenti posso usare?
Aggiunti ulteriori informazioni come richiesto nel primo commento:
But you've not told us anything about the architecture of the network or the hosts.
-
Rete LAN 192.168.1.x
-
gateway e DHCP: 192.168.1.1
-
Traduzione NAT in WAN
Have you verified that 192.168.0.0 traffic only comes from your internal network?
Il firewall ha solo una LAN da guardare. Fa il DHCP e il NAT. È configurato correttamente. Ma non so come posso verificarlo.
have you verified that the MAC address is appropriate to the srcip? What OS is running at the srcip?
Ho verificato ed è. Vinci 7 64 bit