Morgen Liste, Habe hier einen Firewall der zwei NIC hat, eine extern, eine intern eth0 --> intern IP 1 eth0:1 --> intern IP 2 eth1 --> extern IP 1 eth1:1 --> extern IP 2 Habe nun einen sich immer wiederholenden Eintrag: Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFINGIN=eth0 OUT= MAC= SRC=192.168.1.87 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1142 DPT=137 LEN=58 Wobei die SRC-IP = die IP von eth0:1 ist. Es lauft die Firewall2 auf SuSE 7.3. Erlaubt sind nur "www smtp domain ssh", intern und extern. Kann mir irgendwer weiterhelfen, was das bedeutet. Wo und wie kann ich bei den Firewall-Log's ablesen, auf welchen Port zugegriffen wurde? -- Mit freundlichen Grüßen Marcel Schmedes @ InnoSoft GmbH Registered Linux User: #258839 at http://counter.li.org/
* On Mon, 04 Feb 2002 at 10:56 +0100, Marcel Schmedes wrote:
Habe hier einen Firewall der zwei NIC hat, eine extern, eine intern eth0 --> intern IP 1 eth0:1 --> intern IP 2
eth1 --> extern IP 1 eth1:1 --> extern IP 2 Habe nun einen sich immer wiederholenden Eintrag:
Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFINGIN=eth0 OUT= MAC= SRC=192.168.1.87 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1142 DPT=137 LEN=58 ^^^^^^^^^^^^^^^^^^^^^^^^^^
Wobei die SRC-IP = die IP von eth0:1 ist. Es lauft die Firewall2 auf SuSE 7.3. Erlaubt sind nur "www smtp domain ssh", intern und extern. Kann mir irgendwer weiterhelfen, was das bedeutet. Wo und wie kann ich bei den Firewall-Log's ablesen, auf welchen Port zugegriffen wurde?
Protokoll UDP, Source-Port=1142, Destination-Port=137 Das ist Dein Samba; evtl. stimmt was mit dem Routing nicht. PS Marcel: Sorry für PM, hab versehentlich auf r statt L gedrückt. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
* On Mon, 04 Feb 2002 at 10:56 +0100, Marcel Schmedes wrote:
Habe hier einen Firewall der zwei NIC hat, eine extern, eine intern eth0 --> intern IP 1 eth0:1 --> intern IP 2
eth1 --> extern IP 1 eth1:1 --> extern IP 2 Habe nun einen sich immer wiederholenden Eintrag:
Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFINGIN=eth0 OUT= MAC= SRC=192.168.1.87 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1142 DPT=137 LEN=58 ^^^^^^^^^^^^^^^^^^^^^^^^^^
Wobei die SRC-IP = die IP von eth0:1 ist. Es lauft die Firewall2 auf SuSE 7.3. Erlaubt sind nur "www smtp domain ssh", intern und extern. Kann mir irgendwer weiterhelfen, was das bedeutet. Wo und wie kann ich bei den Firewall-Log's ablesen, auf welchen Port zugegriffen wurde?
Protokoll UDP, Source-Port=1142, Destination-Port=137
Das ist Dein Samba; evtl. stimmt was mit dem Routing nicht.
Seltsam, denn auf dem Rechner lauft garantiert kein Samba hier ein auszug aus netstat -t -a -n -p: Active Internet connections (servers and established) State PID/Program name LISTEN 1116/upsd LISTEN 1007/mysqld LISTEN 1091/popper LISTEN 7018/perl LISTEN 1261/httpd LISTEN 1297/(squid) LISTEN 7647/sendmail LISTEN 1167/lisa Was ist den dieses Lisa? Brauch ich das? Ausserdem generiert mein Kollege mit seinem Rechner immer haufenweise im Sekunden-Takt diesen Eintrag: SuSE-FW-DROP-DEFAULTIN=eth0 OUT= MAC=00:e0:7d:a5:70:fc:00:01:02:08:b9:ca:08:00 SRC=192.168.1.201 DST=192.168.1.87 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=17616 PROTO=UDP SPT=137 DPT=137 LEN=58 Er hat unter Win2000 immer netstat -a 5 zum Anzeigen der Netconnects laufen, liegst vielleicht daran?
Hallo Marcel, * Marcel Schmedes schrieb am 04 Feb 2002: [...]
Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFINGIN=eth0 OUT= MAC= SRC=192.168.1.87 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1142 DPT=137 LEN=58 Wo und wie kann ich bei den Firewall-Log's ablesen, auf welchen Port zugegriffen wurde?
[...] Also, SPT bedeutet Source-Port und DPT bedeutet Destination-Port. 137 ist das NETBIOS Protokoll (siehe /etc/services). Hast Du einen Samba-Server laufen? Wenn ja, dann hilft evtl. ein Eintrag in der smb.conf (wins server=yes). Samba versucht alle 12 Minuten einen Wins-Server zu finden. Gruß Sören -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~ Soeren Mindorf ~ ~ Industriemeister der Elektrotechnik ~ ~ Wrangelstrasse 33 ~ ~ 24105 Kiel ~ ~ E-Mail1: soeren@mindorf.org ~ ~ E-Mail2: soerenmm@web.de ~ ~ Homepage: http://www.mindorf.org ~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Hallo, der Firewall empfängt von 192.168.1.87 ein broadcast auf UDP port 137. Heisst in etwa, daß 1.87 einen WINS-Server sucht. Der Firewall läßt das Paket fallen. Konkret, da 1.87 eth0:1 ist, heißt das, daß der Firewall einen WINS-Server sucht, aber aus irgendwelchen Gründen das Paket fallengelassen wird (Da es vom Firewall selber kommt, ist wohl FW_KERNEL_SECURITY="yes" (ich denke, das war die Option...)) eth0 empfängt das Paket wegen dem Broadcast.
Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth0 Welche Schnittstelle das Paket empfängt
OUT= Welche Schnittstelle das Paket sendet
MAC= Hardware-Adresse
SRC=192.168.1.87 Quell-IP-Adresse
DST=192.168.1.255 Ziel-IP-Adresse
LEN=78 TOS=0x00
PREC=0x00 TTL=64
ID=0 DF
PROTO=UDP IP-Protokoll (normalerweise UDP, TCP oder ICMP
SPT=1142 Quell-Port (Bei Antworten vom DNS z.B. immer 53)
DPT=137 Ziel-Port (etwa 80 für www, 1214 für Kazaa etc.)
LEN=58
mfg, Robert
Loesung: Auf dem Firewall lief das tool Lisa, eine art Netzwerkumgebung fuer KDE, warum, weiss ich auch nicht. Habe Eintrag in der rc.config von "local" auf "none" geaendert. Problem gefixt. Hallo, der Firewall empfängt von 192.168.1.87 ein broadcast auf UDP port 137. Heisst in etwa, daß 1.87 einen WINS-Server sucht. Der Firewall läßt das Paket fallen. Konkret, da 1.87 eth0:1 ist, heißt das, daß der Firewall einen WINS-Server sucht, aber aus irgendwelchen Gründen das Paket fallengelassen wird (Da es vom Firewall selber kommt, ist wohl FW_KERNEL_SECURITY="yes" (ich denke, das war die Option...)) eth0 empfängt das Paket wegen dem Broadcast.
Feb 4 01:04:34 max-x kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth0 Welche Schnittstelle das Paket empfängt
OUT= Welche Schnittstelle das Paket sendet
MAC= Hardware-Adresse
SRC=192.168.1.87 Quell-IP-Adresse
DST=192.168.1.255 Ziel-IP-Adresse
LEN=78 TOS=0x00
PREC=0x00 TTL=64
ID=0 DF
PROTO=UDP IP-Protokoll (normalerweise UDP, TCP oder ICMP
SPT=1142 Quell-Port (Bei Antworten vom DNS z.B. immer 53)
DPT=137 Ziel-Port (etwa 80 für www, 1214 für Kazaa etc.)
LEN=58
mfg, Robert
participants (5)
-
Adalbert Michelic -
Maik Holtkamp -
Marcel Schmedes -
Robert Klein -
Sören Mindorf