Firewall Log

5 Jan 2002

      Hallo!

Ich habe eine Frage zu meinen Firewall logs.

Jan  5 19:03:26 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=19826 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0
Jan  5 19:03:29 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20007 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0
Jan  5 19:03:35 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20230 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0

Woher kommt das? Ich habe meinen Browser auf meinen
Squid-Proxie konfiguriert und ich kann auch surfen
ohne Probleme, aber wieso wird trotzdem versucht auf
Port 80 zuzugreifen?
(Wegen dem "FORWARD: " in den opigen logs: Die letzte
Regel im FORWARD-table ist ein -j LOG mit diesem Prefix,
und die Policy aller Tables ist DROP)

Jan  5 19:06:22 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36882 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:06:30 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36883 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:06:36 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=23711 PROTO=UDP SPT=270 DPT=137 LEN=58
Jan  5 19:06:38 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=25759 PROTO=UDP SPT=270 DPT=137 LEN=58
Jan  5 19:06:39 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=26015 PROTO=UDP SPT=270 DPT=137 LEN=58
Jan  5 19:06:40 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36884 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:06:50 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36885 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:07:00 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36886 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:07:10 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36887 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Jan  5 19:07:20 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36888 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0

Das "NEW: " kommt von folgenden Regeln ganz am Beginn:
  iptables -A INPUT   -i ppp0 -m state --state NEW -j LOG --log-prefix "NEW: "
  iptables -A INPUT   -i ppp0 -m state --state NEW -j DROP
  iptables -A FORWARD -i ppp0 -m state --state NEW -j LOG --log-prefix "NEW: "
  iptables -A FORWARD -i ppp0 -m state --state NEW -j DROP

Die Einträge mit dem source port 80 wurden vor ein paar Tagen
hier in der ML zwar behandelt, aber soweit ich mitbekommen habe
sind das ACKs von der anderen Seite, und der weiß natürlich nicht,
das ich einen Proxie habe, aber diese ACKs dürften keinen state NEW
habe, oder stehe ich schon wieder auf der Leitung?

-- 
mfg
Martin Neuditschko