Странности iptables/ssh. Коннект на закрытый порт.

Форум — Admin

Здравствуйте. Сегодня обнаружил в auth.log попытки подбора пароля к ssh.

Mar 27 03:09:47 stallion sshd[23601]: Failed password for invalid user polycom from 221.192.153.13 port 62560 ssh2
Mar 27 03:09:55 stallion sshd[23604]: Invalid user polycom from 221.192.153.13
Mar 27 03:09:55 stallion sshd[23604]: pam_unix(sshd:auth): check pass; user unknown
Mar 27 03:09:55 stallion sshd[23604]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.192.153.13
...

Ничего удивительного, как обычно, китайцы балуются. НО! 22 порт на котором висит sshd закрыт при помощи iptables!

*filter
:INPUT DROP [24854:1601258]
:FORWARD ACCEPT [8300898:6281135389]
:OUTPUT ACCEPT [8695513:6852241690]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Проверил, что порт действительно закрыт: приконнектиться по ssh с другой машины не получается. Проверил на руткиты - ничего. Потом решил, что надо бы посмотреть что за пакеты идут на 22 порт и как так получается, что ядро их пропускает:

tcpdump -n -i eth0 port 22

tcpdump не показал ничего, ни одного пакета, а в auth.log, тем временем, продалжают сыпаться строчки о неудачных попытках ssh-логина. Какая-то мистика, чёрт возьми! Кто-нибудь знает, как такое возможно?
Система - Debian Lenny

dumper
(27.03.10 07:39:21 MSK)

11 комментариев

Сообщения dumper

Странности iptables/ssh. Коннект на закрытый порт.