After following the ipchains discussion last week, I decided to kill my

NT sygate machine and start using IPMASQ for my NAT over a cable modem. 

Everything's working great, but last night I decided to try the

'semi-strong' ipchians ruleset found in the IPChains HOW TO. 

WOW!  I was logging all sorts of stuff.  So much, that my

/var/log/messages was increasing about 10K/minute.  I noticed that most

of the rejected packets were the default input rule, so I turned logging

off, but left it ON for things like spoofing.  Now, it seems like I'm

seeing lots of spoofing attacks, or maybe I'm just reading the logs

wrong.  Here's a sample from the logs:

Mar  2 13:25:44 kenny kernel: Packet log: input REJECT eth1 PROTO=17

192.168.0.5:137 192.168.0.255:137 L=78 S=0x00 I=53465 F=0x0000 T=128

(#2) 

Mar  2 13:25:46 kenny kernel: Packet log: input REJECT eth1 PROTO=17

192.168.0.111:138 192.168.0.255:138 L=239 S=0x00 I=56325 F=0x0000 T=128

(#2) 

Mar  2 13:26:10 kenny kernel: Packet log: input REJECT eth1 PROTO=17

192.168.0.112:137 192.168.0.255:137 L=78 S=0x00 I=24902 F=0x0000 T=32

(#2) 

Mar  2 13:27:21 kenny kernel: Packet log: input REJECT eth1 PROTO=17

192.168.0.104:137 192.168.0.255:137 L=78 S=0x00 I=13873 F=0x0000 T=128

(#2) 

Mar  2 13:27:41 kenny kernel: Packet log: input REJECT eth1 PROTO=17

192.168.0.151:137 192.168.0.255:137 L=78 S=0x00 I=17423 F=0x0000 T=128

(#2) 

The #2 rule referred to above is:

        ipchains -A input -i $extint -s $intnet -d 0.0.0.0/0 -l -j REJECT

Anyone have know where I can find a good source for interpreting these

logs?  Should I be concerned, or am I being overly paranoid?

Thanks.


-- 
============================================================================
                               Chris Egolf
             http://www.ugholf.net     ">cegolf@ugholf.net   
============================================================================
--
To unsubscribe: mail ">majordomo@ale.org with "unsubscribe ale" in message body.