Подскажите про "дропутые пакеты" iptables.

[knn]

  Соединение ppp0e. Iptables - http://forum.puppyrus.org/index.php?topic=20032.msg141599#msg141599 .
  Скрин:
 
 
  - это ~ за 55 минут. Бывали и icmp-пакеты.
  "Аналогичное" - неоднократно . "Дропы" "нарастают" приблизительно равномерно.
  Включал debug в строке с kernel чтобы писались логи. Логи пишутся в /var/log/syslog и /var/log/messages  "дропов" не видно (minirc).
 
  Вопрос(ы) - как/можно-ли записать "дропов" в логи? ;
что это такое может быть("проделки оператора"? "нет-боты"?...?  )?
  И вообще, на "скрине" в районе "pkts, bytes, target DROP" - это дропнутые пакеты?

p. s. проверял в https://2ip.ru/port-scaner/  c "дефолтами iptables" и ПРА и Арча - "Все потенциально опасные порты закрыты.
Ваша система в безопасности !!! "

[sfs]

как/можно-ли записать "дропов" в логи? ;

https://wiki.archlinux.org/index.php/Iptables#Logging
Какую практическую задачу Вы решаете?

[knn]

Какую практическую задачу Вы решаете?

То ли любопытство, то ли любознательность - что за ..."штука" в мой комп лезет.

p.s. спасибо, буду пробовать(сам искал -такого не находил).

[RoDoN]

У меня такого не наблюдается:

live@pra:~$ sudo iptables -L -v
Chain INPUT (policy ACCEPT 348 packets, 349K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       udp  --  ppp+   any     anywhere             anywhere             udp dpts:0:1023
    0     0 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp dpts:0:1023
    0     0 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
    0     0 DROP       icmp --  ppp+   any     anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 351 packets, 44511 bytes)
 pkts bytes target     prot opt in     out     source               destination         
live@pra:~$ sudo iptables -L -v
Chain INPUT (policy ACCEPT 1340 packets, 1568K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       udp  --  ppp+   any     anywhere             anywhere             udp dpts:0:1023
    0     0 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp dpts:0:1023
    0     0 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
    0     0 DROP       icmp --  ppp+   any     anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1218 packets, 164K bytes)
 pkts bytes target     prot opt in     out     source               destination         
live@pra:~$

Никаких "дропов" нет, т.е. все по нолям.

[sfs]

То ли любопытство, то ли любознательность - что за ..."штука" в мой комп лезет.

Если Вы не админ и это не практическая задача - не забивайте себе голову ненужным. Анализ трафа и фвол - не самые простые задачи. Если Вы каждый день этим не занимаетесь - через месяц все равно все забудете

[knn]

У меня такого не наблюдается:

ppp0e +

модуль:  iptbls-stp-rp-pppoe-3.11-7-standalone_any-kn01.pfs   - во вложении.

[RoDoN]

Да, было без запуска скрипта iptbls-stp-rp-pppoe-3.11-7.sh, переделал, см. выше, но "дропы" по нолям.

[knn]

за 5 минут:

live@pra:~$ sudo iptables -L -v
Chain INPUT (policy ACCEPT 273 packets, 253K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       udp  --  ppp+   any     anywhere             anywhere             udp dpts:0:1023
    5   280 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp dpts:0:1023
   12   512 DROP       tcp  --  ppp+   any     anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
    0     0 DROP       icmp --  ppp+   any     anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 281 packets, 45069 bytes)
 pkts bytes target     prot opt in     out     source               destination     

ppp0e , дом.ру

[RoDoN]

У меня Ростелеком.
Так, а возможно ли, что у меня по нолям, т.к. подключаюсь ADSL-модем с роутером + маршрутизатор?

UPD. Некорректно я тестирую, почитал здесь, в моем случае на ноуте уже не ppp+, а wlan0 является интерфейсом интернета, поэтому изменил строку 19 на EXTIF=wlan0, но эффект тот-же. А соединение pppoe настроено на ADSL-модеме.

knn, а у тебя оптоволокно или ADSL?

[knn]

оптоволокно или ADSL?

- провод(4-х жильн.) сразу в комп.

Может роутеры "такое" "рубят" и Правила iptables из rp-pppoe только для такого pppoe и нужны(в "дефолтном" пакете есть еще набор для сервера - "маскарад").
Я до сих пор в "сетях" дремучий(из линуксов - ПРА первый дистр., кот. смог подключить к и-нету. pppoe относительно редкое соединение, а с "доступной для новичка" информацией в и-нете совсем не густо).

[RoDoN]

pppoe относительно редкое соединение

С чего такой вывод? Огромное количество ADSL-модемов работает через это соединение.

- провод(4-х жильн.) сразу в комп.

У нас в простонародье это называют оптоволокном, настройка насколько я понимаю зависит от провайдера, либо с "белым" статическим IP, либо с "серым" динамическим IP. Обычно достаточно вбить IP-шники выданные провайдером и интернет будет работать. С дом.ру не сталкивался, у нас его нет.
Оптимально поставить роутер, желательно с Wi-Fi, один раз его настроить с раздачей IP через DHCP и исчезнут проблемы с подключением компов, ноутов, планшетов и смартов к интернету.

[knn]

    pppoe относительно редкое соединение

С чего такой вывод?

Подразумевал, и, наверное, ключевое здесь("редкость", инф-я о подключении, ...) - без роутера и внешнего модема.

ip - динамич.

p.s.  У нас в городе оптоволокно(действительное) в квартиру пока только от Ростелекома. 

[Ekim]

Да в чем пролема то?  Ну обрежте всё для всех на всех интерфейсах в INPUT, оставляете только шлюз открытым, и то можно только определенные порты оставить udp/tcp
эхо всем зарезать  -A INPUT  -p icmp --icmp-type echo-request -j DROP

Узнать шлюз можно командой  traceroute ya.ru 
Один раз настроил и спи спокойно. Разобраться не очень сложно. Хелпик сохранил для себя если что подзабыл со вре менем.

[knn]

Разобраться не очень сложно.

может у кого завалялась ссылка для "нулеврго уровня вхождения"?

[Ekim]

интернет изобилует документацией по настройке iptables от простейших вариантов до сложных, включая обход блокировки сайтов ))

могу в двух словах объяснить ключевые моменты.
1) нужно сохранять настройки
2) сначала пишутся исключения потом запреты

пример:
-A INPUT  -p tcp -j DROP
-A INPUT  -p udp -j DROP
-A INPUT  -p icmp -j DROP

здесь я запретил всем все на всех портах - полная блокировка, вас не видят, вы никого не видите, включая loopback

пример 2:
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.1 -p tcp -j ACCEPT
-A INPUT -s 192.168.0.1 -p udp -j ACCEPT
-A INPUT  -p tcp -j DROP
-A INPUT  -p udp -j DROP
-A INPUT  -p icmp -j DROP

здесь я запретил всё всем на всех портах кроме loopback и шлюза 192.168.0.1 но только по протоколу udp и tcp, icmp для него тоже закрыт.

пример 3:

-A INPUT -p tcp -s ya.ru --dport http -j ACCEPT
-A OUTPUT -p tcp -d ya.ru --dport http -j ACCEPT
-A INPUT -p tcp --dport http -j DROP
-A OUTPUT -p tcp --dport http -j DROP

здесь запрещен весь http трафик для всех сайтов кроме http://ya.ru

Вот три самых простых примера. На самом деле можно настроить достаточно сложные таблицы с здержками запросов  против ддос атак, переадресацией пакетов на другие порты и т.д.  но это уже для сисадминов. Простому пользователю, тем более если  он находится за NATом, это совершенно не нужно.