Hallo! Ich habe eine Frage zu meinen Firewall logs. Jan 5 19:03:26 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=19826 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:29 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20007 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:35 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20230 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Woher kommt das? Ich habe meinen Browser auf meinen Squid-Proxie konfiguriert und ich kann auch surfen ohne Probleme, aber wieso wird trotzdem versucht auf Port 80 zuzugreifen? (Wegen dem "FORWARD: " in den opigen logs: Die letzte Regel im FORWARD-table ist ein -j LOG mit diesem Prefix, und die Policy aller Tables ist DROP) Jan 5 19:06:22 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36882 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:30 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36883 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:36 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=23711 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:38 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=25759 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:39 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=26015 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:40 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36884 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:50 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36885 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:00 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36886 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:10 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36887 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:20 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36888 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Das "NEW: " kommt von folgenden Regeln ganz am Beginn: iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "NEW: " iptables -A INPUT -i ppp0 -m state --state NEW -j DROP iptables -A FORWARD -i ppp0 -m state --state NEW -j LOG --log-prefix "NEW: " iptables -A FORWARD -i ppp0 -m state --state NEW -j DROP Die Einträge mit dem source port 80 wurden vor ein paar Tagen hier in der ML zwar behandelt, aber soweit ich mitbekommen habe sind das ACKs von der anderen Seite, und der weiß natürlich nicht, das ich einen Proxie habe, aber diese ACKs dürften keinen state NEW habe, oder stehe ich schon wieder auf der Leitung? -- mfg Martin Neuditschko
Hallo Martin, * 05.01.2002 19:29 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Hallo!
Ich habe eine Frage zu meinen Firewall logs.
Jan 5 19:03:26 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=19826 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:29 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20007 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:35 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20230 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0
Woher kommt das? Ich habe meinen Browser auf meinen Squid-Proxie konfiguriert und ich kann auch surfen ohne Probleme, aber wieso wird trotzdem versucht auf Port 80 zuzugreifen? (Wegen dem "FORWARD: " in den opigen logs: Die letzte Regel im FORWARD-table ist ein -j LOG mit diesem Prefix, und die Policy aller Tables ist DROP)
Also die Einträge oben kommen vermutlich nicht von deinem Browser, die geloggten IPS gehören zur Domäne icq.com. Ich denke der ICQ hat auf updates geprüft, oder eine Datenbank durchsucht.
Jan 5 19:06:22 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36882 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:30 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36883 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:36 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=23711 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:38 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=25759 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:39 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=26015 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:40 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36884 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:50 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36885 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:00 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36886 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:10 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36887 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:20 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36888 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Die beiden IP Adressen sind einmal 212.236.40.36 (cybertron036.cybertron.a) und zum anderen 194.126.131.165 (imserv005.adtech.de). Im Falle von cybertron handelt es sich um eine netbios Abfrage (Netbios Name Services), also um eine Abfrage deines Rechnernamens - wichtig, dies muß kein Angriff sein, es kann sich auch um einen schlecht Konfigurierten IIS handeln!!!!. Bei imserv, kann es sich um eine Werbeschaltung handeln, die evtl. durch den ICQ Update ausgelöst wurde. Grüße Martin Walter PS: Wenn es gedroppt wurde ist doch gut, oder?
On Sat, Jan 05, 2002 at 07:57:44PM +0100, Martin Walter wrote:
Hallo Martin,
* 05.01.2002 19:29 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Hallo!
Ich habe eine Frage zu meinen Firewall logs.
Jan 5 19:03:26 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=19826 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:29 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20007 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0 Jan 5 19:03:35 casper kernel: FORWARD: IN=eth0 OUT=ppp0 SRC=10.0.0.141 DST=205.188.250.25 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=20230 DF PROTO=TCP SPT=1271 DPT=80 WINDOW=16960 RES=0x00 SYN URGP=0
Also die Einträge oben kommen vermutlich nicht von deinem Browser, die geloggten IPS gehören zur Domäne icq.com. Ich denke der ICQ hat auf updates geprüft, oder eine Datenbank durchsucht.
Da hatte ich aber verdammt Glück, daß ich bei ICQ keinen Proxie eingestellt habe, sondern stattdessen den einen Port 5190 freigeschaltet habe, sonst Hätte er das geschafft, (und zweifellos würde er dann wohl auch eine Werbung anzeigen - jetzt habe ich da nur ein leeres Feld *g*)
Jan 5 19:06:22 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36882 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:30 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36883 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:36 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=23711 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:38 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=25759 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:39 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=212.236.40.36 DST=213.33.48.131 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=26015 PROTO=UDP SPT=270 DPT=137 LEN=58 Jan 5 19:06:40 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36884 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:06:50 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36885 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:00 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36886 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:10 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36887 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0 Jan 5 19:07:20 casper kernel: NEW: IN=ppp0 OUT= MAC= SRC=194.126.131.165 DST=213.33.48.131 LEN=52 TOS=0x00 PREC=0x00 TTL=248 ID=36888 DF PROTO=TCP SPT=80 DPT=2557 WINDOW=33304 RES=0x00 ACK FIN URGP=0
Die beiden IP Adressen sind einmal 212.236.40.36 (cybertron036.cybertron.a) und zum anderen 194.126.131.165 (imserv005.adtech.de).
Im Falle von cybertron handelt es sich um eine netbios Abfrage (Netbios Name Services), also um eine Abfrage deines Rechnernamens - wichtig, dies muß kein Angriff sein, es kann sich auch um einen schlecht Konfigurierten IIS handeln!!!!.
Bei imserv, kann es sich um eine Werbeschaltung handeln, die evtl. durch den ICQ Update ausgelöst wurde.
*g* Und ich habe mich schon gefragt, wieso ICQ keine Werbung mehr anzeigt.
PS: Wenn es gedroppt wurde ist doch gut, oder?
Naja, kann sein, muß aber nicht. Ich habe z. B. auch ICMP (extern UND intern) denied. Es kommt mir extrem komisch vor, daß vom Nameserver meines Providers ICMP Pakete mit dem Typ 8 ankommen (AFAIR echo request). Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255 PS: Daß 212.236.40.36 = sybertron036.cybertron.at ist kann ich mit nslookup feststellen (Machst du es genau so?) Aber woher weißt du das es sich bei imserv005.adtech.de um eine Werbeshaltung handeln kann? (Ist es IMHO zwar, weil ja bei ICQ Werbung angezeigt wird, aber wie kommt man darauf? Gibt es da auch irgendein Proggie?) PPS: Was ist IPS und IIS? -- mfg Martin Neuditschko
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist. adtech.de ist ähnlich wie addnet.com (oder so ähnlich) oder doubleklick.net ein werbeserver. Grüße Martin
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142 Sonst gibt es keine Rechner. Auf dem Server läuft Linux als PDC, aber ohne wins support und auf den Clients (Win2k) läuft auch kein wins server. -- mfg Martin Neuditschko
Hallo Namensvetter, * 05.01.2002 21:02 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Ok, das bedeutet, daß dein Linux PDC einen Rechner mit der IP 192.168.46.21 über Netbios Nameservice erreichen will. Die Frage ist nur, wer zum Geier ist daß. Wie gesagt, es ist eine Private IP Adresse, also eine Adresse, die im Internet nicht geroutet wird, also nicht existiert. Vielleicht hast Du in der lokalen LMHOSTS diese IP Adresse, oder in deiner smb.conf als WINS Server drinne stehen. Irgendwo hat dein PDC allerdings diese IP Adresse als Eintrag, denn da UDP nicht verbindungsorientiert arbeitet, halte ich es für äußerst unwahrscheinlich, daß dein PDC auf eine Anfrage von außen antwortet, zumal es ja eine private Adresse ist.
Sonst gibt es keine Rechner. Auf dem Server läuft Linux als PDC, aber ohne wins support und auf den Clients (Win2k) läuft auch kein wins server.
Ich würde den WINS Support aber bei dem Samba aktivieren, da sonst deine Windowsclients andauernd über Netbiosbroadcasts suchen, wer in dem Netz noch da ist. Microsoft Systeme sind sowieso die geschwätzigsten, die man in Netzen antrifft. Grüße Martin
On Sun, Jan 06, 2002 at 12:15:16PM +0100, Martin Walter wrote:
Hallo Namensvetter,
* 05.01.2002 21:02 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Ok, das bedeutet, daß dein Linux PDC einen Rechner mit der IP 192.168.46.21 über Netbios Nameservice erreichen will. Die Frage ist nur, wer zum Geier ist daß. Wie gesagt, es ist eine Private IP Adresse, also eine Adresse, die im Internet nicht geroutet wird, also nicht existiert.
Vielleicht hast Du in der lokalen LMHOSTS diese IP Adresse, oder in deiner smb.conf als WINS Server drinne stehen. Irgendwo hat dein PDC allerdings diese IP Adresse als Eintrag, denn da UDP nicht verbindungsorientiert arbeitet, halte ich es für äußerst unwahrscheinlich, daß dein PDC auf eine Anfrage von außen antwortet, zumal es ja eine private Adresse ist.
Ja, aber müßte dann nicht das OUT-Interface eth0 sein und nicht ppp0? (Ich habe mit 'grep -s "192.168.46.21" $(find /etc/)' das ganze /etc Verzeichnis durchsucht und keine übereinstimmung gefunden. Auch in den hosts und lmhosts der 2 Win-Clients steht so etwas nicht drinnen)
Sonst gibt es keine Rechner. Auf dem Server läuft Linux als PDC, aber ohne wins support und auf den Clients (Win2k) läuft auch kein wins server.
Ich würde den WINS Support aber bei dem Samba aktivieren, da sonst deine Windowsclients andauernd über Netbiosbroadcasts suchen, wer in dem Netz noch da ist. Microsoft Systeme sind sowieso die geschwätzigsten, die man in Netzen antrifft.
Wieder was dazugelernt. Danke für den Tip! -- mfg Martin Neuditschko
* 06.01.2002 13:41 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Ja, aber müßte dann nicht das OUT-Interface eth0 sein und nicht ppp0? (Ich habe mit 'grep -s "192.168.46.21" $(find /etc/)' das ganze /etc Verzeichnis durchsucht und keine übereinstimmung gefunden. Auch in den hosts und lmhosts der 2 Win-Clients steht so etwas nicht drinnen)
Nein, daß Forwarding in IPTables sieht ja so aus: LAN ---> in=eth0 ---> ROUTING / FORWARDING ---> out=ppp0 ---> WAN ist ja auch logisch so. Dein internes Netz ist 10.0.0.0/24 alles andere schickt dein Netz über den Router. Da dein Router sich dynamisch einwählt, bekommt er auch dynamisch einen default-gateway zugewiesen. Über diesen schickt er dann alles was er nicht kennt, also alles außer 10.0.0.0/24. Eingehen tut die Verbindung ja intern, also auf eth0. Da er die Adresse 192.168.46.21 nicht kennt, schickt er diese Verbindung an seinen Defaultgateway, bspw. 212.4.5.6. Diesen erreicht er über sein externes Interface, in diesem Falle ppp0. Wenn die Verbindung steht, kannst Du das mit route -n ja mal anschauen, wer auf dem Router der Defaultgateway ist. Also, intern eth0 mit 10.0.0.0/24, extern ppp0 mit x.x.x.x. deshalb schickt er das Packet über ppp0 raus. Ergo hast Du auch im Log OUT=ppp0 stehen. Ich hoffe, das klingt einigermaßen einleuchtend. Ich hab immer das Problem, daß für mich immer alles klar und deutlich ist, für andere dagegen deutlich weniger. Grüße Martin
Hi alls, Martin Neuditschko schrieb:
On Sun, Jan 06, 2002 at 12:15:16PM +0100, Martin Walter wrote:
Hallo Namensvetter,
* 05.01.2002 21:02 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Du hast auf deinen WINX-Clients nicht zufällig einen Napster / Gnutella laufen? Wenn ich "gnutelle", dann sehe ich in dem Bereich der Remote-IP's auch häufig Adressen aus den sogenannten privaten Bereichen. Die stecken dann ebenfalls hinter einer "Firewall" und mit denen kann man keinen "Datentausch" betreiben. Hth Thomas -- ./no_signature
On Mon, Jan 07, 2002 at 10:39:05AM +0100, Thomas Schürmann wrote:
Hi alls,
Martin Neuditschko schrieb:
On Sun, Jan 06, 2002 at 12:15:16PM +0100, Martin Walter wrote:
Hallo Namensvetter,
* 05.01.2002 21:02 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine private IP Adresse. Schau mal in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu posten vergessen: Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Du hast auf deinen WINX-Clients nicht zufällig einen Napster / Gnutella laufen? Wenn ich "gnutelle", dann sehe ich in dem Bereich der Remote-IP's auch häufig Adressen aus den sogenannten privaten Bereichen. Die stecken dann ebenfalls hinter einer "Firewall" und mit denen kann man keinen "Datentausch" betreiben.
Oh, dann wird es wohl ICQ sein. mit dem neuen kann man ja auch Files sharen. das wird es sein. Danke für den Tip. -- mfg Martin Neuditschko
Thomas Schürmann schrieb am Monday, January 07, 2002 10:39 AM Hallo,
Hi alls,
Martin Neuditschko schrieb:
On Sun, Jan 06, 2002 at 12:15:16PM +0100, Martin Walter wrote:
Hallo Namensvetter,
* 05.01.2002 21:02 Uhr, Martin Neuditschko
On Sat, Jan 05, 2002 at 08:46:04PM +0100, Martin
Walter wrote:
* 05.01.2002 20:35 Uhr, Martin Neuditschko yosuke.tomoe@gmx.net:
Kannst du mir vielleicht auch damit helfen: Jan 5 20:23:29 casper kernel: OUTPUT: IN= OUT=ppp0 SRC=10.0.0.140 +DST=192.168.46.21 LEN=275 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP +SPT=137 DPT=137 LEN=255
Ist auch wieder Netbios Nameservice, der läuft über UDP und TCP. Allerdings wundert es mich, daß dein Windowsclient intern in ein anderes Netz damit will. Wer ist denn 192.168.46.21? Das ist eine
in deinen Windows Clients nach, ob da ein WINS Server eingetragen ist.
Verflixt, jetzt habe ich glatt das Wichtigste zu
yosuke.tomoe@gmx.net: private IP Adresse. Schau mal posten vergessen:
Meine Server-IP: 10.0.0.140 Meine 2 Clients: 10.0.0.141 und 10.0.0.142
Du hast auf deinen WINX-Clients nicht zufällig einen Napster / Gnutella laufen? Wenn ich "gnutelle", dann sehe ich in dem Bereich der Remote-IP's auch häufig Adressen aus den sogenannten privaten Bereichen. Die stecken dann ebenfalls hinter einer "Firewall" und mit denen kann man keinen "Datentausch" betreiben.
Ich habe eine Firewall mit iptables im internen Netz 192.168.1.x und hinter einem Router habe ich mein Win2k mit der ip 192.168.10.x vertsteckt. Und auf den Rechner greifen über Morpheus user aus dem Internet zu. Die Firewall blockt alles was über ppp0 kommt. Macht da Morpheus in der Firewall tatsächlich einen Port auf? Ich jedenfalls habe ihm nur erlaubt rauszugehen auf Port 1214, reicht ihm das tatsächlich, daß er auch leute einläd? Gruß Alex
Hallo Alexander, Alexander Sommer schrieb:
Thomas Schürmann schrieb am Monday, January 07, 2002 10:39 AM
Du hast auf deinen WINX-Clients nicht zufällig einen Napster / Gnutella laufen? Wenn ich "gnutelle", dann sehe ich in dem Bereich der Remote-IP's auch häufig Adressen aus den sogenannten privaten Bereichen. Die stecken dann ebenfalls hinter einer "Firewall" und mit denen kann man keinen "Datentausch" betreiben.
Ich habe eine Firewall mit iptables im internen Netz 192.168.1.x und hinter einem Router habe ich mein Win2k mit der ip 192.168.10.x vertsteckt. Und auf den Rechner greifen über Morpheus user aus dem Internet zu. Die Firewall blockt alles was über ppp0 kommt. Macht da Morpheus in der Firewall tatsächlich einen Port auf? Ich jedenfalls habe ihm nur erlaubt rauszugehen auf Port 1214, reicht ihm das tatsächlich, daß er auch leute einläd?
Da Morpheus ADD-Ware (und evtl. Spy-Ware) ist (IMHO ab Version 1.3.1), habe ich meinen Kiddies und mir den Einsatz dieses Programmes versagt. Meine Ausführungen bezogen sich allein auf Gnutella und Co. Ergo: I don't know.
Gruß Alex
Dito Thomas -- ./no_signature
Hallo, at Mon, 7 Jan 2002 12:28:40 +0100 Alexander Sommer wrote:
Ich jedenfalls habe ihm nur erlaubt rauszugehen auf Port 1214, reicht ihm das tatsächlich, daß er auch leute einläd?
Probiere es doch einfach mal aus, indem Du einen selbsttest unter http://www.lfd.niedersachsen.de/ startest. Da siehst Du, welche Ports offen sind und auf lauschen stehen. Gruß Michael -- Phone/Fax +49 7000 MACBYTE Registered Linux User #228306 HomePage http://www.macbyte.info/ http://counter.li.org/ GNU PGP-Key http://www.macbyte.info/shared/macbyte.asc ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
participants (5)
-
Alexander Sommer
-
Martin Neuditschko
-
Martin Walter
-
Michael Raab
-
Thomas Schürmann