Am Donnerstag, 22. Mai 2003 01:18 schrieb Sebastian Wolfgarten: Hallo Sebastian Vielen Dank schon mal für die Mühe!

Dialer haben unter Linux keine Chance.

Das hoffe ich doch stark! Deshalb benutze ich ja auch Linux, auch wenn mein Vater das Internet trotzdem noch verteufelt, weil er so oft etwas über Betrügereien mit Dailern u.s.w. in den Medien hört.

Poste doch mal eine Ausgabe der SuSE Firewall und dann gucken wir mal :-)

Du hast es nicht anders gewollt! ;-) ---------------- schnipp --------------- May 22 21:31:20 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:31:21 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17775 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:31:22 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17776 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:39:17 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=37942 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:39:21 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=38102 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:39:22 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=38432 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:51:12 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3069 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 21:51:13 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3075 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 21:51:14 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3084 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 22:29:24 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=2900 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:25 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=51028 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:26 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=35669 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:27 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=12630 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) ---------------- schnapp --------------- Das ist schon mehr als genug, deshalb muß natürlich nicht jede Zeile aufgedröselt werden, es genügt ja schon eine als Beispiel. Ich habe trotzdem mal mehrere Zeilen geschickt, damit man einen Überblick bekommen kann. Ich habe häufig noch mehr Meldungen. Gruß Thomas

Hallo, On Sat, 24 May 2003, Christian Boltz wrote:

Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:

...

[...] So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-) [..] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF

Die Angaben sagen mir jetzt erstmal nix.

"LEN" = "Length" = Laenge (von was weiss ich aber auch nicht ;) "TOS" = "Type of Service" ("Art des Services"), darueber laesst sich mit QoS ("Quality of Service") z.B. die Bandbreite fuer einen TOS beschraenken usw. "PREC" ist vermutlich "Precision", k. Ahnung... "TTL" = "Time To Live" = "Lebenszeit" eines Paketes, in "Hops" gezaehlt. Ein "Hop" ist ein "Schritt" von einem zum naechsten Rechner. "ID" = "Identification", das ist wohl eine mehr oder weniger arbitraere Sequenznummer etc... Was das "DF" heisst weiss ich auch nicht. [..]

...

WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402)

sagt mir auf die Schnelle auch nix ;-)

Was WINDOW und RES sind weiss ich auch nicht (WINDOW hat irgendwas mit der Paketgroesse zu tun oder so). SYN ist das "SYN"-Bit im Status-Flag im IP-Header, d.h. das Bit, das den Versuch eines Verbindungsaufbaus anzeigt. IIRC laeuft ein TCP Verbindungsaufbau so ab: 1. Client -> SYN -> Server 2. Client <- SYN ACK <- Server 3. Client -> ACK -> Server Weitere Status-Bits sind z.B. das "ACK"-Bit ("ACK" = "Acknowledge"). "URGP" ist AFAIK was mit "Urgency"/"Priority". "OPT" sind wohl irgendwelche optionalen Flags.

Es würde mich übrigens nicht wundern, wenn die Portnummern zu irgendeinem Filesharing- oder Chatprogramm gehören - das kommt des öfteren vor, wenn der Vorbesitzer der (dynamischen) IP ein solches Programm verwendet hat ;-)

Ja. Mind. 1214 ist eines dieser laestigen Filesharing Proggies. -dnh -- Ah. Feeding pills to cats. I believe that I am the true master of feline-pill-administering. -- Lionel im the SDM

David Haller wrote:

On Sat, 24 May 2003, Christian Boltz wrote:

...

Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:

...

[...] So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-) [..] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF

Die Angaben sagen mir jetzt erstmal nix.

"LEN" = "Length" = Laenge (von was weiss ich aber auch nicht ;)

LEN: die Länge des Paketes.

Was das "DF" heisst weiss ich auch nicht.

DONT FRAGMENT.

Was WINDOW und RES sind weiss ich auch nicht (WINDOW hat irgendwas mit der Paketgroesse zu tun oder so).

WINDOW: TCP-windowsize. also die Menge an Daten, die der sender schicken darf, ohne auf ein ACK vom empfänger zu warten. der rest sollte in [1] zu finden sein. micha [1]

Am Donnerstag, 22. Mai 2003 09:17 schrieb Thomas Gräber: Hallo Thomas, vielen Dank für den Tip.

Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln,

Bin gerade dabei mir das Programm anzusehen. Ich bin neugierig, was das Programm alles kann. Gruß Thomas

Hallo, On Fri, 23 May 2003, Al Bogner wrote:

fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make install [..] install -m 0644 fwlogwatch.8 /usr/local/share/man/man8/fwlogwatch.8 install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8': No such file or directory make: *** [install] Error 1 [..] Gab es da *nur* Probleme mit der Manpage?

Sieht so aus. Kann sein, dass anschliessend noch mehr kommen sollte. Schau mal nach, warum die Datei nicht installiert werden konnte. -dnh PS: du kannst mir auch ein .gz des kompletten logs mailen... -- Lusers annoy you; Backups are crap; Morons employ you; And samba won't map. Printers need cable; Installs restart; Servers aren't stable; You might as well LART. -- DPM in the SDM

Al Bogner wrote:

fw:/usr/local/share # ls . .. doc

install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8'

Oder sollte die fehlenden Verzeichnisse man/man8/ automatisch angelegt werden.

Nur wenn das Makefile neu genug ist. Leg die Struktur fuer die manpages von Hand an. Was man auch probieren kann, ist dann den "make install"-Schritt mit dem Parameter "-k" zu ergaenzen -> "keep going", er wuerde die Manpage dann ueberspringen (Irgendwie nicht die beste Loesung) Peter

Hi! On Fri, May 23, 2003 at 10:05:09PM +0200, Al Bogner wrote:

On Thursday 22 May 2003 23:25, Thomas Schiefelbein wrote:

...

...

Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln,

Bin gerade dabei mir das Programm anzusehen.

Ich bin neugierig, was das Programm alles kann.

Ich schau es mir auch gerade an, aber bei der Installation läuft etwas schief.

fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make flex -B -t cisco_ios.l > cisco_ios.c gcc -DHAVE_ZLIB -DHAVE_GETTEXT -pipe -O2 -Wall -c -o cisco_ios.o cisco_ios.c ... utils.o whois.o win_xp.o -lcrypt -lz rm cisco_ios.c ipfilter.c netscreen.c netfilter.c cisco_pix.c snort.c ipchains.c

fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make install install -s -m 0755 fwlogwatch /usr/local/sbin/fwlogwatch install -m 0755 contrib/fwlw_notify /usr/local/sbin/fwlw_notify install -m 0755 contrib/fwlw_respond /usr/local/sbin/fwlw_respond install -m 0644 fwlogwatch.8 /usr/local/share/man/man8/fwlogwatch.8 install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8': No such file or directory make: *** [install] Error 1

fw:/usr/local/sbin # ls . .. fwlogwatch fwlw_notify fwlw_respond

fw:/usr/local/share # ls . .. doc

Gab es da *nur* Probleme mit der Manpage?

Ja. Ich setze fwlogwatch schon länger ein, das Problem gabs schon immer beim Übersetzen auf 'ner SuSE. Die wichtigen Teile von fwlogwatch, ein Binary und 2 Skripte, sind bis dahin installiert und fwlogwatch kannst du so benutzen.

Al

Ciao, Schöppi -- Christian Schoepplein | Beste Rockband der Welt: http://www.lily-rockt.de mail@schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de