Всем привет и доброго вечера.
mikrotik>NetFlow>ubuntu-server>ntop
Софт на сервере: deluge, tinyproxy, openssh-client->proxy, samba, apache2, ntop, dnscrypt. Все либо из офф репозитория.
На момент установки сервера, порт форвадинг был настроен только на порт п2п клиента. Что исключает вмешательство извне. Только если я сам что-то поставил.
Решил проанализировать трафик с помощью ntop, и удивился, когда увидел, что сервер коннектится к разным хостам на ВСЕ порты из диапазона 1-1024.
Только пару из них инициировал я. Все остальное - неизвестно что.
Общение с каждым сервером весит в пределах 1-2Кб. Анализировал пакет снифером, не похоже на шифрованную передачу.
Часть из списка портов(ntop):
108 113 123 130 136 148 157 189 220 221 228 270 274 281 317 348 360 368 412 423 455 470 475 479 488 501 514 590 603 604 627 641 642 645 657 658 679 680 723 738 781 784 812 830 877 878 885 888 921 929 938 940 949 951 955 965 970 979 992
А теперь самое интересное. Настройка огнестены из микротик.
18 chain=forward action=accept protocol=tcp dst-port=80,443,221,21,22,993
log=no log-prefix=""
19 chain=forward action=accept protocol=udp dst-port=80,443,221,21,22,993
log=no log-prefix=""
20 chain=forward action=drop protocol=udp dst-port=1-1024 log=no
log-prefix=""
21 chain=forward action=drop protocol=tcp dst-port=1-1024 log=no
log-prefix=""
Но эти коннекты не прекратились. Имеется в виду, что нтоп показывает трафик, и они помечены как успешные коннеты. Хотя должны были бы дропаться фаером.
Есть, интересная закономерность. Все хосты на которые происходят запросы держат стабильный коннект на порт п2п клиента на моём сервере. Может это как то соотносится с включенным шифрованием на п2п клиенте, и нтоп неправильно анализирует трафик?
у меня только 2 объяснения. 1. ntop врёт. 2. я чего то не знаю.
Посему вопрос. Что это, как лечить.