Hallo,
LaBelle Furneaux
writes: Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein.
-Dieter
-- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Dieter! Nun die TTL exeeded müßen unbedingt als OUTPUT in den Firewallchains geblockt werden , weil damit so Firewalking verhindert werden kann ( also das Durchdringen der firewall, und somit Blick dahinter...) ansonsten habe ich die ICMPS , die Du genannt hast erlaubt, also source quench, die üblichen echos, nur bei fragmentation needed und destination unreachable , bin ich mir unsicher.Kann man denn nun durch IP-Spoof meinen eigentluichen DNS Server von meinen Provider faken?, und mir vortäuschhen , ich sei mit diesem server verbunden? Gruß LaBelle
-- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net