[Barit]

Вот повернул таблицу на 90град., думаю правильно.

action OPEN
src-ip 192.168.1.6
dst-ip 192.168.1.4
src-port 1500
dst-port 445
size

Этот вопрос задал не просто из любопытства. Анализируя лог увидел, что 6-ка регулярно общается с четверкой, приведенных выше фрагментов сотни, а точнее "общение" продолжалось около 2,5 часа, количество приведенных выше строк составило около 4-х тысяч за 2,5 часа. Потом наступила тишина. Подобная активность замечалась неоднократно.

Принимая за истину что src - это тот кто пытается открыть канал, а dst - тот IP, к которому обращаются, получается 192.168.1.6 (мой комп) систематически "пристает" к 192.168.1.4, при этом еще ведется перебор src-port. После серии попыток соединения в логе обнаруживается типа:

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2006-02-28 13:38:52 DROP TCP 192.168.1.4 192.168.1.6 445 2518 40 AR 0 3885443953 0 - - - RECEIVE

Всегов сети около 10 машин, а шестерка систематически "пристает" к одной из них. Еще смущает, что перебор портов ведется машиной посылающей пакеты смысл?