Здравствуйте.

Периодически появляются подобные warnings в логе. Протокол -- TCP и UDP.
Что за Default_Rule имеется в виду?
И как трактовать следующую информацию в этих записях:
- ipdatalen=34 udptotlen=34
- ipdatalen=44 tcphdrlen=44 syn=1
- ipdatalen=720 ack=1 psh=1 fin=1
и т.п.?
Как причину? Или как дополнительную информацию?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Да, и у меня тоже такого плана?

2009-02-03 07:53:06 Предостережение IP_PROTO 7000014 TTLOnLowMulticast OSPFIGP Beeline 94.27.126.5 224.0.0.5
ttl_low drop
ttl=1 ttlmin=3 ipdatalen=56

2009-02-03 07:01:32 Предостережение TCP_FLAG 3300019 TCPSequenceNumbers TCP Beeline lan 80.92.96.98 192.168.1.2 11436
45678 tcp_seqno_too_high drop
seqno=3320521807 accstart=2705278994 accend=2705278996 origsent=132 termsent=0 ipdatalen=24 tcphdrlen=24 syn=1

2009-02-03 07:01:32 Предостережение RULE 6000051 Default_Rule TCP Beeline 72.227.180.133 94.27.109.201 37857 60842 ruleset_drop_packet drop
ipdatalen=40 tcphdrlen=40 syn=1

2009-02-03 07:01:32 Предостережение RULE 6000051 Default_Rule TCP Beeline 202.70.145.104 94.27.109.201 23557 60842 ruleset_drop_packet drop
ipdatalen=32 tcphdrlen=32 syn=1

Добавил ещё (появились после того как прописал DNS_Relay
2009-02-03 18:06:46 Предостережение CONN 600012 LogOpenFails TCP lan 192.168.1.3 94.27.93.151 1625 58920 no_new_conn_for_this_packet
reject protocol=tcp ipdatalen=88 ack=1 psh=1 fin=1

2009-02-03 18:06:45 Предостережение RULE 6000051 Default_Rule TCP Beeline 75.36.198.216 94.27.93.151 63720 60842 ruleset_drop_packet
drop ipdatalen=28 tcphdrlen=28 syn=1

2009-02-03 18:06:45 Предостережение TCP_FLAG 3300010 LogStateViolations TCP lan lan 94.27.93.151 93.191.75.19 58920 23888 unexpected_tcp_flags drop
flags=RST endpoint=terminator state=TCP_NEW origsent=412 termsent=120 ipdatalen=20 rst=1

dmoleg,

В Вашем случае за первые два отвечают соотв. пункты в System -> Advanced Settings (IP, TCP).
А два последних -- такого же плана, как и у меня. Ждем, что скажет тех. поддержка.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

up

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

The Default Access Rule

Even if the administrator doesn't explicitly specify any Access Rules, a basic access rule is always in
place which is known as the Default Access Rule. This default rule always checks incoming traffic
by performing a reverse lookup in the routing tables. This lookup validates that the incoming traffic
is coming from a source that the routing tables indicate is accessible via the interface on which the
traffic arrived. If this reverse lookup fails then the connection is dropped and a "Default Access
Rule" log message will be generated.

For most configurations the Default Access Rule is sufficient and the administrator does not need to
explicity specify other rules. The default rule can, for instance, protect against IP spoofing, which is
described in the next section. If Access Rules are explicitly specified, then the Default Access Rule
is still applied if a new connection doesn't match any of the specified rules.

Makros,

Спасибо.
Т.е. если исходить из документации, то drop делается исключительно из-за отсутствия разрешающих правил. И та информация о пакете, которая логгируется в таких записях, должна трактоваться как дополнительная (т.е. не причина drop).

Хотелось бы получить подтверждение от тех. поддержки.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Это из официальной документации.

Меня другое интересует какое именно правело создавать чтобы лог не засерался а все сразу дропалось.

Может в система>расширенные настройки>IP настройки в Multicast TTL on Low выставить не DropLog, а просто Drop и тогда в журнал не будет заноситься запись?

Неа один фиг.

А если по аналогии инструкции "как осуществить трассировку маршрута" выставить 1 и Log?

Выставил. У меня остались только вот эти:
2009-02-05 11:20:38 Предостережение RULE 6000051 Default_Rule TCP lan 192.168.1.2 94.27.109.209 54571 45678 ruleset_drop_packet
drop ipdatalen=24 tcphdrlen=24 syn=1

2009-02-05 09:19:18 Предостережение RULE 6000051 Default_Rule TCP Beeline 195.177.239.225 94.27.109.209 8554 60842 ruleset_drop_packet
drop ipdatalen=28 tcphdrlen=28 syn=1

2009-02-05 09:19:16 Предостережение RULE 6000051 Default_Rule TCP Beeline 202.70.145.81 94.27.109.209 11516 3480 ruleset_drop_packet
drop ipdatalen=32 tcphdrlen=32 syn=1

2009-02-05 09:19:16 Предостережение RULE 6000051 Default_Rule UDP Beeline 220.131.243.187 94.27.109.209 1121135079 ruleset_drop_packet
drop

Ну, ответят нам или нет? Кто нибудь ответьте.

2009-02-03 07:01:32 Предостережение TCP_FLAG 3300019 TCPSequenceNumbers TCP Beeline lan 80.92.96.98 192.168.1.2 11436
45678 tcp_seqno_too_high drop
seqno=3320521807 accstart=2705278994 accend=2705278996 origsent=132 termsent=0 ipdatalen=24 tcphdrlen=24 syn=1

На это предупреждение "Подтверждение номеров последовательности TCP" стояло -- ValidateLogBad(пропускать корректные и заносить в журнал некорректные), поставил ValidateSilent(пропускать корректные). Правильно сделал или нет(но записи в журнале больше нет)?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, я знаю, перечитал.

Я говорю о подтверждении того, что подчеркнул: информация о пакете должна трактоваться как дополнительная.

Вопрос к тех. поддержке: это действительно так?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP