Hallo Martin, * 05.01.2002 19:29 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Hallo!
Ich habe eine Frage zu meinen Firewall logs.
Jan 5 19:03:26 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=19826 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:29 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20007 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:35 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20230 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0
Woher kommt das? Ich habe meinen Browser auf meinen Squid-Proxie konfiguriert und ich kann auch surfen ohne Probleme, aber wieso wird trotzdem versucht auf Port 80 zuzugreifen? (Wegen dem "FORWARD: " in den opigen logs: Die letzte Regel im FORWARD-table ist ein -j LOG mit diesem Prefix, und die Policy aller Tables ist DROP)
Also die Einträge oben kommen vermutlich nicht von deinem Browser, die geloggten IPS gehören zur Domäne icq.com. Ich denke der ICQ hat auf updates geprüft, oder eine Datenbank durchsucht.
Jan 5 19:06:22 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36882 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:30 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36883 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:36 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=23711 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:38 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=25759 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:39 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=26015 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:40 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36884 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:50 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36885 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:00 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36886 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:10 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36887 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:20 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36888 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Die beiden IP Adressen sind einmal 212.236.40.36 (cybertron036.cybertron.a) und zum anderen 194.126.131.165 (imserv005.adtech.de). Im Falle von cybertron handelt es sich um eine netbios Abfrage (Netbios Name Services), also um eine Abfrage deines Rechnernamens - wichtig, dies muß kein Angriff sein, es kann sich auch um einen schlecht Konfigurierten IIS handeln!!!!. Bei imserv, kann es sich um eine Werbeschaltung handeln, die evtl. durch den ICQ Update ausgelöst wurde. Grüße Martin Walter PS: Wenn es gedroppt wurde ist doch gut, oder?