Hallo, ich hab schon in der 'security' ML gefragt, dort konnte man mir aber nicht sehrviel weiterhelfen. Zur Ausgangslage: Ich habe einen Router (www.fli4l.de) der einige Ports zu mir (192.168.1.2) forwarden soll. So weit, so gut. Nun steht aber in meinem log soetwas: Jun 7 18:51:44 tux kernel: Trash-Packet! Infos: IN=eth0 OUT= MAC=00:e0:7d:c5:e4:f3:00:50:ba:b8:a3:05:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=81 TOS=0x00 PREC=0xC0 TTL=255 ID=9997 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=192.168.1.2 [SRC=192.168.1.2 DST=192.168.1.2 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=3456 DPT=3456 LEN=33 ] Also den port 3456 udp und tcp habe ich weitergeleitet. Nun bekomm ich aber immer vom router solche 'icmp-redirect' msg und ich weiß nicht, ob man sie braucht. Und die kommt auch nur für den udp-port. 4-mal dann etwa 2.20h Pause. Auch bei MAC steht erst meine MAC, dann die vom router und dann 08:00. Diese 08:00 steht auch da, wenn nur Packete im LAN (ohne router) verschickt werden. Was bedeutet das? Der zweite Log ist etwas anders, ich benutzte zu dem Zeitpunkt Overnet (sowas ähnliches wie eDonkey oder eMule, nur ohne Server): Jun 7 21:11:05 tux kernel: Trash-Packet! Infos: IN=eth0 OUT= MAC=00:e0:7d:c5:e4:f3:00:50:ba:b8:a3:05:08:00 SRC=80.139.182.236 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=123 ID=11282 PROTO=TCP SPT=4662 DPT=4038 WINDOW=0 RES=0x00 ACK RST URGP=0 Jun 7 21:13:13 tux kernel: Trash-Packet! Infos: IN=eth0 OUT= MAC=00:e0:7d:c5:e4:f3:00:50:ba:b8:a3:05:08:00 SRC=80.130.125.169 DST=192.168.1.2 LEN=64 TOS=0x00 PREC=0x00 TTL=123 ID=58278 DF PROTO=TCP SPT=4662 DPT=4223 WINDOW=16944 RES=0x00 ACK SYN URGP=0 Also entweder ein ACK-RST oder ACK-SYN. (Das ist doch die Antwort auf das aktive Open (SYN) des Clients, oder?). In den Regeln von iptables hab ich folgendes für vorhandene Verbindungen stehen: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Das stand so in einem Magazin, dass das alle Packete zu einer vorhanden Verbindung durchlässt. Das komische ist ja, dass dieser log nur manchmal kommt, also surfen, chatten, overnet und so laufen ja. Sind ja auch TCP-Verbindungen. Nur das diese Packete weggeworfen werden find ich nicht so toll. Sind immer vom Port (tcp) 4662/4663/8080, bisher (~4Tage) kam noch nie ein Log für Port 80, 25, 110, 6667, ... Ich weiß einfach nicht weiter :( MfG Markus Mein FW-Script: #!/bin/sh #unload unneeded modules and load needed { rmmod ipfwadm rmmod ipchains modprobe ip_tables modprobe ip_conntrack } > /dev/null 2>&1 #clear the fw-table iptables -F iptables -X #set general policy iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #accept everything from interface lo iptables -A INPUT -i lo -j ACCEPT #allow conections to 3456 (overnet) iptables -A INPUT -p tcp --destination-port 3456 -j ACCEPT #allow packets to 3456 (overnet) iptables -A INPUT -p udp --destination-port 3456 -j ACCEPT #allow some other essential msg iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT #This is the msg from the router, dunno if nessesary #iptables -A INPUT -p icmp --icmp-type redirect -j ACCEPT #allow incomming ping-pong iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT #let connection-packets pass Is this not enough? iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #drop packets which are regulary send out to everybody (windows SMB) iptables -A INPUT -p udp --destination-port 137 -j DROP iptables -A INPUT -p udp --destination-port 138 -j DROP iptables -A INPUT -p udp --destination-port 520 -j DROP #Log all packets which would be droped, only to see what is dropped #will be removed in the final version iptables -A INPUT -j LOG --log-level 0 --log-prefix "Trash-Packet! Infos: "