iptables забивает логи messages сообщениями о неправильных MAC на локальных комп

[kan]

У меня ark-server 5.0.1 работает в режиме шлюза(нат).
Весь /var/log/messages с частотой несколько раз в минуту забивается строчками:

Код: [Выделить]

Sep 19 08:03:23 xeon kernel: [221099.286804] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.175 [/b]DST=192.168.5.255 LEN=202 TOS=0x00 PREC=0x00 TTL=128 ID=30871 PR
OTO=UDP SPT=138 DPT=138 LEN=182

Sep 19 08:03:23 xeon kernel: [221099.286896] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.2 [/b]DST=192.168.5.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30872 PRO
TO=UDP SPT=137 DPT=137 LEN=58

Sep 19 08:03:23 xeon kernel: [221100.035343] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.2 [/b]DST=192.168.5.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30873 PRO
TO=UDP SPT=137 DPT=137 LEN=58
Что это может значить, в filter/forward есть правило:
-i eth0 -j LOG --log-prefix 'iptables: wrong IP/MAC:'
-i eth0 -j DROP

т.е. неверный пакет благополучно дропается, за сервак я не волнуюсь - тут все четко, а вот что делать с компами в сети, которые это делают? Я посмотрел в SRC почти все мои локальные компы

[Andrey]

У меня ark-server 5.0.1 работает в режиме шлюза(нат).
Весь /var/log/messages с частотой несколько раз в минуту забивается строчками:

Код: [Выделить]

Sep 19 08:03:23 xeon kernel: [221099.286804] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.175 [/b]DST=192.168.5.255 LEN=202 TOS=0x00 PREC=0x00 TTL=128 ID=30871 PR
OTO=UDP SPT=138 DPT=138 LEN=182

Sep 19 08:03:23 xeon kernel: [221099.286896] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.2 [/b]DST=192.168.5.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30872 PRO
TO=UDP SPT=137 DPT=137 LEN=58

Sep 19 08:03:23 xeon kernel: [221100.035343] iptables: wrong IP/MAC:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00
SRC=[b]192.168.5.2 [/b]DST=192.168.5.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30873 PRO
TO=UDP SPT=137 DPT=137 LEN=58
Что это может значить, в filter/forward есть правило:
-i eth0 -j LOG --log-prefix 'iptables: wrong IP/MAC:'
-i eth0 -j DROP

т.е. неверный пакет благополучно дропается, за сервак я не волнуюсь - тут все четко, а вот что делать с компами в сети, которые это делают? Я посмотрел в SRC почти все мои локальные компы

Означает, что все пакеты пришедшие на eth0 дропаются, заноситься при этом в лог с префиксом=>'iptables: wrong IP/MAC:'

[bormant]

1) нет ли одинаковых mac-адресов на машинах в сети? Смотреть на каждой в
/sbin/ifconfig | grep HWaddr
но у Вас они под Windows, тогда ipconfig /all на предмет "физический адрес" или в интерфейсе где-то.

2) отбрасываются широковещательные запросы на 192.168.5.255/24, протокол UDP, порт 137

3) событие ординарное и никакой полезной информации обычно не несёт, есть смысл отключить его запись в лог.

[kan]

1) нет ли одинаковых mac-адресов на машинах в сети? Смотреть на каждой в
/sbin/ifconfig | grep HWaddr
но у Вас они под Windows, тогда ipconfig /all на предмет "физический адрес" или в интерфейсе где-то.

2) отбрасываются широковещательные запросы на 192.168.5.255/24, протокол UDP, порт 137

3) событие ординарное и никакой полезной информации обычно не несёт, есть смысл отключить его запись в лог.

1) у меня DHCP, у клиентов винда без прав смены настроек компа/сети.
2) в логи пишутся не все такие пакеты, а только с ошибочным MAC (MAC=ff:ff:ff:ff:ff:ff:00:13:46:64:24:9e:08:00) - откуда добавляется то что жирным?
3) я так понимаю ординарно - это когда в виндовой сети летают широковещательные пакеты, но когда в пакетах МАК "странный" - этож не нормально?!

А) Мне важно понять что это за широковещательные пакеты с таким странным МАКом
Б) Ведь это могут быть червивые пакеты, и в этом случае я думаю лучше компы полечить.

Что это за пакеты с таким МАКом?