PhenIXUS

[nico_29]

Bonjour,

Plusieurs paquets à la seconde provenant de mon réseau interne (cotè vert) sont bloqués par mon parfeur. Je ne vois pas d'où cela provient car aucune de ces IP sont attribuées par une machine du réseau.
Je précise que les deniers bits des IP relevés ne sont jamais les mêmes et aucune adresse MAC remonte.
Le port source est toujours 1030 pour un port de destination 37(TIME) ou 123(NTP).

Comment puis je trouver la(les) machine incriminée sans connaitre son adresse MAC ?

Voici quelques remontés :
00:00:43 IN=lan-1 OUT=wan-1 SRC=X.X.X.165 DST=X.X.x.255 LEN=28 TOS=0x00 PREC=0x00 TTL=28 ID=18124 PROTO=UDP SPT=1030 DPT=37 LEN=8
00:00:43 IN=lan-1 OUT=wan-1 SRC=X.X.X.165 DST=X.X.x.255 LEN=28 TOS=0x00 PREC=0x00 TTL=28 ID=18124 PROTO=UDP SPT=1030 DPT=37 LEN=8
00:00:44 IN=lan-1 OUT=wan-1 SRC=X.X.X.227 DST=X.X.x.255 LEN=76 TOS=0x00 PREC=0x00 TTL=62 ID=61875 PROTO=UDP SPT=1030 DPT=123 LEN=56
00:00:44 IN=lan-1 OUT=wan-1 SRC=X.X.X.227 DST=X.X.X.255 LEN=76 TOS=0x00 PREC=0x00 TTL=62 ID=61875 PROTO=UDP SPT=1030 DPT=123 LEN=56
00:00:44 IN=lan-1 OUT=wan-1 SRC=X.X.X.235 DST=X.X.x.255 LEN=76 TOS=0x00 PREC=0x00 TTL=62 ID=61947 PROTO=UDP SPT=1030 DPT=123 LEN=56
00:00:44 IN=lan-1 OUT=wan-1 SRC=X.X.X.235 DST=X.X.X.255 LEN=76 TOS=0x00 PREC=0x00 TTL=62 ID=61947 PROTO=UDP SPT=1030 DPT=123 LEN=56

Merci d'avance

[Franck78]

Pourquoi mettre des x.x.x.x puisque les IP sont locales et/ou fausses. Ca rime à rien.

Quand au mac address, c'est pas dans les log iptables qu'il faut les chercher. C'est encore et toujours avec tcpdump !