Recientemente instalé un Hardware UTM Firewall. El registro del firewall muestra esta entrada cada 20 segundos:
/var/log/packetfilter/2014/09/packetfilter-2014-09-30.log.gz:2014:09:30-12:06:15
utm ulogd[11342]:
id="2001"
severity="info"
sys="SecureNet"
sub="packetfilter"
name="Packet dropped"
action="drop"
fwrule="60002"
initf="eth1"
outitf="eth0"
srcmac="0:20:4d:81:60:5e"
dstmac="68:5:ca:2a:12:ba"
srcip="192.168.1.28"
dstip="144.76.96.172"
proto="6"
length="52"
tos="0x00"
prec="0x00"
ttl="127"
srcport="49242"
dstport="5222"
tcpflags="SYN"
Lo que entiendo es que el host x.x.x.28 está enviando un paquete a 144.76.96.172 y se descarta. Eso está bien y está diseñado desde el punto de vista de los cortafuegos.
Pero el host .28 no debe enviar nada a esta dirección IP.
¿Cómo puedo identificar la aplicación o el proceso que está enviando este paquete? ¿Qué herramientas puedo usar?
Agregó más información según lo solicitado en el primer comentario:
Pero no nos ha dicho nada sobre la arquitectura de la red o los hosts.
-
red LAN 192.168.1.x
-
puerta de enlace y DHCP: 192.168.1.1
-
Traducción de NAT a WAN
¿Ha verificado que el tráfico 192.168.0.0 solo proviene de su red interna?
El Firewall solo tiene una LAN para ver. Lo hace el DHCP y el NAT. Está correctamente configurado. Pero no sé cómo puedo verificar esto.
¿has verificado que la dirección MAC es apropiada para el srcip? ¿Qué sistema operativo se ejecuta en el srcip?
Lo verifiqué y es. Gana 7 64 bits