Path: ...!3.us.feeder.erje.net!feeder.erje.net!panix!weretis.net!feeder6.news.weretis.net!i2pn.org!dodin.fr.nf!.POSTED.plouf.fr.eu.org!not-for-mail
From: Pascal Hambourg <pascal@plouf.fr.eu.org>
Newsgroups: fr.comp.os.linux.configuration
Subject: =?UTF-8?B?UmU6IElQIHByaXbDqXMgcm91dMOpcz8=?=
Date: Mon, 12 Sep 2022 17:38:07 +0200
Organization: Plouf!
Message-ID: <tfnjp0$r8j$1@ns507557.dodin.fr.nf>
References: <tfhftg$1b4o0$1@dont-email.me> <tfn9ck$po2$1@ns507557.dodin.fr.nf>
 <tfnflo$298nv$1@dont-email.me>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Mon, 12 Sep 2022 15:38:08 -0000 (UTC)
Injection-Info: ns507557.dodin.fr.nf; posting-host="plouf.fr.eu.org:213.41.155.166";
	logging-data="27923"; mail-complaints-to="abuse@dodin.fr.nf"
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101
 Thunderbird/91.13.0
Cancel-Lock: sha256:rWeNYIvC7f23bsOGg+/uWtddr2en67z4fDSor/OYBHM=
In-Reply-To: <tfnflo$298nv$1@dont-email.me>
Content-Language: en-US
Bytes: 1885
Lines: 14

Le 12/09/2022 à 16:28, François Patte a écrit :
> Le 12/09/2022 à 14:40, Pascal Hambourg a écrit :
>>
>> Est-il possible de voir les messages d'iptables correspondants dans 
>> les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des 
>> paquets d'erreur ICMP reçus en réponse à des paquets UDP émis par la 
>> machine qui seraient mal interprétés par logwatch ?
> 
> Sep  9 00:07:21 bertuccio kernel: [3912269.923468] IN=enp3s0 OUT= 
> MAC=d4:5d:64:ab:7f:5f:48:fd:a3:b2:d6:02:08:00 SRC=10.187.5.127 
> DST=192.168.1.16 LEN=124 TOS=0x00 PREC=0x00 TTL=64 ID=43026 DF PROTO=UDP 
> SPT=38181 DPT=56386 LEN=104

Ce sont bien des paquets UDP. Pas de port connu. Même longueur.
L'adresse MAC source 48:fd:a3:b2:d6:02 est bien celle de la box ?