Hallo,
LaBelle Furneaux
Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour