Во время работы µTorrent 1.6.1 в логах появляются оповещения о вторжении с помощью Land attack.
Когда закрываеш µTorrent сообщения о аттаке в логах больше не появляются.
Если возобновить работу µTorrent - опять фиксируется непрерывная Land attack.

Фрагмент лога:

----------- system log buffer head --------------
Jun 06 14:00:00 gateway:firewall:info: 133300.126 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:00:03 gateway:firewall:info: 133303.066 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:00:50 gateway:firewall:info: 133351.185 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:00:53 gateway:firewall:info: 133354.144 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:01:54 gateway:firewall:info: 133414.225 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:01:57 gateway:firewall:info: 133417.139 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:03:30 gateway:firewall:info: 133510.168 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:03:33 gateway:firewall:info: 133513.083 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:05:23 gateway:firewall:info: 133623.263 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
Jun 06 14:05:26 gateway:firewall:info: 133626.254 Intrusion Land attack(1) -- 91.124.34.105 > 91.124.34.105
----------- system log buffer tail --------------

91.124.34.105 - это мой IP

Model Name DSL-G804V
Hardware Version Argon 432 ADSL-A/2/WG v1.00
Software Version 1.00.05.dg3

DSL-G804V работат в режиме роутера.
Подключено три рабочих станции: 192.168.1.2, 192.168.1.3, 192.168.1.4

Land attack фиксируется независимо от того, на какой машине запущен µTorrent, и подключены ли в это время другие машины к роутеру или нет.

Вопрос: действительно ли имеет место Land attack, или это ошибка встроенного firewall?

Как настроен Firewall устройства (политики)?

_________________
С уважением, Давыдов Денис.

Firewall

General Settings
Security: Enable
Policy: Medium security level
Block WAN Request: Enable

Filter List
Rule Name Time Schedule Source IP / Netmask Protocol Source port(s) Inbound Destination IP / Netmask Destination port(s) Outbound
mei_http Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 80 ~ 80 Allow
mei_dns Always On 0.0.0.0 / 0.0.0.0 UDP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 53 ~ 53 Allow
mei_tdns Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 53 ~ 53 Allow
mei_ftp Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 21 ~ 21 Allow
mei_tnet Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 23 ~ 23 Allow
mei_smtp Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 25 ~ 25 Allow
mei_pop3 Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 110 ~ 110 Allow
mei_nntp Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 119 ~ 119 Allow
mei_rav Always On 0.0.0.0 / 0.0.0.0 UDP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 7070 ~ 7070 Allow
mei_icmp Always On 0.0.0.0 / 0.0.0.0 ICMP N/A Allow 0.0.0.0 / 0.0.0.0 N/A Allow
mei_h323 Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 1720 ~ 1720 Allow
mei_t120 Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 1503 ~ 1503 Allow
mei_ssh Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 22 ~ 22 Allow
mei_sntp Always On 0.0.0.0 / 0.0.0.0 UDP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 123 ~ 123 Allow
mei_https Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 443 ~ 443 Allow
mei_httpp Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 8080 ~ 8080 Allow
ICQ Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 5190 ~ 5190 Allow
pop3_SSL Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 995 ~ 995 Allow
smtp_SSL Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 465 ~ 465 Allow
Half Life UDP Always On 0.0.0.0 / 0.0.0.0 UDP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 27015 ~ 27017 Allow
Half Life TCP Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 27015 ~ 27017 Allow
Tracker Empornium Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 6969 ~ 6969 Allow
Torrent_tcp_2 Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 40000 ~ 40000 Allow
mei_http_8090 Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Block 0.0.0.0 / 0.0.0.0 8090 ~ 8090 Allow
WebMoney Keeper Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 2802 ~ 2802 Allow
Tracker FreeXchng Always On 0.0.0.0 / 0.0.0.0 TCP 0 ~ 65535 Allow 0.0.0.0 / 0.0.0.0 2710 ~ 2710 Allow
URL Filter
не задействован
Firewall Log
Filtering Log: Enable
Intrusion Log: Enable
URL Blocking Log: Enable

Intrusion Detection
Intrusion Detection: Enable
Victim Protection Block Duration: 600 seconds
Scan Attack Block Duration: 86400 seconds
DOS Attack Block Duration: 1800 seconds
Maximum TCP Open Handshaking Count: 100 per second
Maximum Ping Count: 15 per second
Maximum ICMP Count: 100 per second

Virtual Server

Virtual Server List
Name Schedule Protocol Public Port(s) Private Port(s) Private IP
Torrent_PC-3 Always On tcp 40000 - 40000 40000 - 40000 192.168.1.4
WM Keeper Always On tcp 2802 - 2802 2802 - 2802 192.168.1.2

Неужели никто у себя такого не наблюдал?

Это не ошибка, а нормальное действие firewall устройства на SYN пакеты, которые появляются при работе µTorrent.
В данном случае беспокоится не о чем.

_________________
С уважением, Давыдов Денис.

У меня возникло подозрение, что на прошивке 1.00.08.dm2 после серии оповещений "Intrusion Land attack" firewall на DSL-G804V или банит сам себя (или внешний, или внутренний IP), или банит ВСЕ (!) текущие сиды/пиры.

Симптомы:
1. В торрент-клиенте вдруг, не с того ни с сего, прекращается активность на ВСЕХ раздачах.
С синхронизацией и PPPoE-сессией все в норме.
Когда я проверяю логи firewall на DSL-G804V - там очень много записей об Land attack.
Перезапуск торрент-клиента не помогает.
2. Как только я в DSL-G804V нажимаю Clear Blacklist, все раздачи в торрент-клиенте снова оживают.

???:
1. Как на DSL-G804V увидеть Blacklist?
2. Как отключить защиту Land attack?

Прошу разобраться с проблемой ложного срабатывания защиты Land attack.

P.S.
Blacklist я отключил:
firewall set IDS blacklist disable

Не вижу в нем смысла, если он остается невидимым для пользователя.

скорее всего так и есть, срабатывает защита. в торенте в настройках соединения нужно галочку "за фаирволом" если хочтся то можно еще поставить "использовать для входящих соединений КОНКРЕТНЫЙ порт"
затем прописать правило на маршрутизаторе "порт мапинг" на ту машину с Конкретным портом.
после этого фаирвол должен перестать реагировать на SYN из вне.

Land attack у меня нет, но раздачи прекращаются когда я раздаю без трекера. Методом тыка нащупал что необходимо отключить в фаерволе "Block WAN Request". Раздачи оживают сразу же, но после включения количество пиров падает, но не исчезает. Критично ли отключать "Block WAN Request" и/или есть другие способы заставлять мю-торрент раздавать?
Прошивка DSL-G804V v1.00.08.dm12