Hallo Thomas, hallo Leute, Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:
[...]
So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-)
May 22 21:31:20 linux kernel: SuSE-FW-DROP-NEW-CONNECT
Die SuSE Firewall hat eine neue Verbindung abgelehnt.
IN=ppp0
Die Verbindung kam über das Device ppp0 herein (also das Internet)
OUT=
Als ausgehendes Device ist nichts angegeben.
MAC=
MAC ist die "Hardwareadresse" der Gegenstelle, wurde aber nicht mit übertragen bzw. geloggt.
SRC=213.170.174.21
Source-IP - von diesem Rechner stammt die Anfrage
DST=213.7.197.46
und dieser Rechner ist das Ziel (vermutlich Deine (dynamische?) IP)
LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF
Die Angaben sagen mir jetzt erstmal nix.
PROTO=TCP
Protokoll TCP (es gibt auch UDP, frag aber bitte nicht nach Details ;-))
SPT=2732
Quellport auf dem anfragenden Rechner
DPT=1872
Zielport auf dem Zielrechner (also bei Dir)
WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402)
sagt mir auf die Schnelle auch nix ;-)
Das ist schon mehr als genug, deshalb muß natürlich nicht jede Zeile aufgedröselt werden, es genügt ja schon eine als Beispiel.
Das hast Du oben. Interessant sind u. a. die Portnummern, deren Verwendungszweck steht entweder in /etc/services und/oder lässt sich oft auch per Google herausfinden (suchen z. B. nach "port <portnr> tcp" bzw. "port <portnr> udp") Es würde mich übrigens nicht wundern, wenn die Portnummern zu irgendeinem Filesharing- oder Chatprogramm gehören - das kommt des öfteren vor, wenn der Vorbesitzer der (dynamischen) IP ein solches Programm verwendet hat ;-) Gruß Christian Boltz -- ####################### Fontlinge Developer ####################### ### Fontlinge - Schriftenverwaltung für Linux ### ### Fontlinge 2.0 jetzt downloaden! #### http://www.gesindel.de ### ###################################################################