Hallo *, ich habe jetzt mal versucht herauszufinden woher diese martian sources kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] Dazu habe ich einfach mal folgendes gemacht: es:~ # tethereal -f "src host 127.0.0.1" -i ppp0 -w lo.dump -S -n Capturing on ppp0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1971 [RST, ACK] Seq=0 Ack=2127691777 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1193 [RST, ACK] Seq=0 Ack=1050476545 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1434 [RST, ACK] Seq=0 Ack=2027094017 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1786 [RST, ACK] Seq=0 Ack=1615527937 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1958 [RST, ACK] Seq=0 Ack=1221591041 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1864 [RST, ACK] Seq=0 Ack=712704001 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1728 [RST, ACK] Seq=0 Ack=2112225281 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1094 [RST, ACK] Seq=0 Ack=2005991425 Win=0 Len=0 [...] Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen. Ich Daraufhin habe ich einfach mal meinen Apache ausgeschaltet. Leider hat das die Sache nicht weiter verbessert. Die "Marsianer" kommen trotzdem noch. Hat jemand da eine Idee? Viele Grüße Bastian
Am Dienstag, 27. Januar 2004 16:27 schrieb Bastian Schern:
Hallo *,
ich habe jetzt mal versucht herauszufinden woher diese martian sources kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...]
Dazu habe ich einfach mal folgendes gemacht: es:~ # tethereal -f "src host 127.0.0.1" -i ppp0 -w lo.dump -S -n Capturing on ppp0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1971 [RST, ACK] Seq=0 Ack=2127691777 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1193 [RST, ACK] Seq=0 Ack=1050476545 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1434 [RST, ACK] Seq=0 Ack=2027094017 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1786 [RST, ACK] Seq=0 Ack=1615527937 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1958 [RST, ACK] Seq=0 Ack=1221591041 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1864 [RST, ACK] Seq=0 Ack=712704001 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1728 [RST, ACK] Seq=0 Ack=2112225281 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1094 [RST, ACK] Seq=0 Ack=2005991425 Win=0 Len=0 [...]
Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen. Ich Daraufhin habe ich einfach mal meinen Apache ausgeschaltet. Leider hat das die Sache nicht weiter verbessert. Die "Marsianer" kommen trotzdem noch.
Hat jemand da eine Idee?
Viele Grüße
http://de.altavista.com/web/results?pg=q&sc=on&kl=XX&what=web&q=martian%20source%20from%20127.0.0.1,%20on%20dev%20ppp -- Mit freundlichen Grüßen Frank Markwort magma24 - Die Immobilienbörse ------------------------------------ Web: http://www.magma24.de Tel: +49.30. 76 80 33 44 magma24 - Support Center (C) magma24.de - Internetsolutions
Frank Markwort schrieb: [...]
Sorry, ich glaube ich hab' 'nen Brett vorm Kopf! Ich kann in dem gepostetetn Link keine wirklichen Gemeinsamkeiten mit meinem Problem entdecken... oder bin ich blind? Viele Grüße Bastian
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am Dienstag, 27. Januar 2004 15:27 schrieb Bastian Schern:
Hallo *,
ich habe jetzt mal versucht herauszufinden woher diese martian sources kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...]
Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen. Ich Daraufhin habe ich einfach mal meinen Apache ausgeschaltet. Leider hat das die Sache nicht weiter verbessert. Die "Marsianer" kommen trotzdem noch.
google sollte helfen - -- Ralf Prengel Dortmund -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAFpZngRRKXJrQjTsRAjs7AKDiGJxG8NJJ2HAit5KlWeenKGca6gCfRCsO j72KJ9w8z9KYnDvbwFd1uDM= =dpBk -----END PGP SIGNATURE-----
Ralf Prengel schrieb: [...]
google sollte helfen
Leider nicht! Behandelt wird das Problem unter anderem hier: http://lists.suse.com/archive/suse-security/2003-Sep/0171.html Eine Lösung für das Problem gibt es aber auch hier nicht! Viele Grüße Bastian
On Tue, Jan 27, 2004 at 04:27:44PM +0100, Bastian Schern wrote:
[...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28
Hat jemand da eine Idee?
ist 212.202.39.61 deine derzeit zugewiesene IP-Adresse (oder welche IP auf immer auftaucht). Vermutlich kannst du das Problem mit "echo 0 > /proc/sys/net/ipv4/conf/ppp0/log_martians" kaschieren. -- Have fun, Peter
Peter Wiersig schrieb:
On Tue, Jan 27, 2004 at 04:27:44PM +0100, Bastian Schern wrote:
[...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28
Hat jemand da eine Idee?
ist 212.202.39.61 deine derzeit zugewiesene IP-Adresse (oder welche IP auf immer auftaucht).
Ja, das ist meine aktuelle IP, die ich von QSC zugewiesen bekommen habe.
Vermutlich kannst du das Problem mit "echo 0 > /proc/sys/net/ipv4/conf/ppp0/log_martians" kaschieren.
Kaschieren schon, aber mich würde schon interessieren, warum mein Rechner von 127.0.0.1:80 "Marsianer-Pakete" abschickt. Viele Grüße Bastian
On Tue, Jan 27, 2004 at 09:02:27PM +0100, Bastian Schern wrote:
Peter Wiersig schrieb:
Vermutlich kannst du das Problem mit "echo 0 > /proc/sys/net/ipv4/conf/ppp0/log_martians" kaschieren.
Kaschieren schon, aber mich würde schon interessieren, warum mein Rechner von 127.0.0.1:80 "Marsianer-Pakete" abschickt.
Ich vermute, das die tatsaechlich vom Provider kommen koennten. Andere Moeglichkeit: Du hast falsche netfilter-Regeln zum maskieren deines internen Netzes eingestellt. -- Have fun, Peter
Peter Wiersig schrieb: [...]
Ich vermute, das die tatsaechlich vom Provider kommen koennten.
Es sieht aber so aus, als ob sie von 127.0.0.1 kommen. 127.0.0.1 -> 212.202.39.61 TCP 80 > 1971 [RST, ACK] Seq=0 Ack...
Andere Moeglichkeit: Du hast falsche netfilter-Regeln zum maskieren deines internen Netzes eingestellt.
Ich verwende das SuSEfirewall2 script mit folgenden Parametern: FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ssh smtp http https imaps pop3s" FW_SERVICES_EXT_UDP="domain 5000" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="no" FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="no" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="yes" #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" Ich denke aber nicht dass Problem daher rührt. Viele Grüße Bastian
participants (4)
-
Bastian Schern
-
Frank.Markwort@t-online.de
-
Peter Wiersig
-
Ralf Prengel