Hi! Ich hab seit einiger Zeit folgende Logeinträge auf einer Suse 9.1 Maschine. 10.1.0.104 ist ein DNS Server sowie Gateway und 192.168.5.240 ist meine Maschine. Der Admin des DNS Server sagt, seine Maschine ist das nicht, meine hat aber keinerlei Bind oder sowas drauf - DNS Anfragen immer zu einer :30 Zeit wären dann doch etwas wenig (ist ein Webserver) Wonach kann ich noch suchen? May 30 10:30:55 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=40591 PROTO=UDP SPT=53 DPT=14107 LEN=52 May 30 10:30:55 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=47534 PROTO=UDP SPT=53 DPT=14107 LEN=52 May 30 11:30:53 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=24907 PROTO=UDP SPT=53 DPT=14375 LEN=52 May 30 11:30:53 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=35011 PROTO=UDP SPT=53 DPT=14375 LEN=52 May 30 11:30:53 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=53338 PROTO=UDP SPT=53 DPT=14374 LEN=52 May 30 11:30:53 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=2183 PROTO=UDP SPT=53 DPT=14374 LEN=52 May 30 12:30:56 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=55289 PROTO=UDP SPT=53 DPT=14620 LEN=52 May 30 12:30:56 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=56560 PROTO=UDP SPT=53 DPT=14620 LEN=52 May 30 14:30:54 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=49725 PROTO=UDP SPT=53 DPT=15079 LEN=52 May 30 14:30:54 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=22058 PROTO=UDP SPT=53 DPT=15079 LEN=52
Am Montag 30 Mai 2005 16:36 schrieb martin hochreiter:
Hi!
Ich hab seit einiger Zeit folgende Logeinträge auf einer Suse 9.1 Maschine.
10.1.0.104 ist ein DNS Server sowie Gateway und 192.168.5.240 ist meine Maschine.
Der Admin des DNS Server sagt, seine Maschine ist das nicht, meine hat aber keinerlei Bind oder sowas drauf - DNS Anfragen immer zu einer
:30 Zeit wären dann doch etwas wenig (ist ein Webserver)
Wonach kann ich noch suchen?
May 30 10:30:55 susi1 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:11:1f:44:60:00:a0:8e:31:e3:6e:08:00 SRC=10.1.0.104 DST=192.168.5.240 LEN=72 TOS=0x00 PREC=0x00 TTL=254 ID=40591 PROTO=UDP SPT=53 DPT=14107 LEN=52 *snip*
Hola, ich würde sagen das ist eine Antwort vom DNS (10.1.0.104) aus eine Anfrage von dir (192.168.5.240) die nicht durchgelassen und geloggt wird. Du solltest danach suchen was bei dir den DNS befragt. cu Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Hola,
ich würde sagen das ist eine Antwort vom DNS (10.1.0.104) aus eine Anfrage von dir (192.168.5.240) die nicht durchgelassen und geloggt wird. Du solltest danach suchen was bei dir den DNS befragt.
Hi Daniel! Aber was fragt bitte in unregelmäßigen Abständen und immer zu 1/2 (also xx:30) Zeiten einen DNS ab? lg
ich würde sagen das ist eine Antwort vom DNS (10.1.0.104) aus eine Anfrage von dir (192.168.5.240) die nicht durchgelassen und geloggt wird. Du solltest danach suchen was bei dir den DNS befragt.
Nachtrag: Was ich im Crontab gefunden hab ist der webalizer der alle 30 Minuten läuft. Der (denk ich) versucht auch DNS aufzulösen, aber warum schaffen es alle anderen Programme und webalizer nicht? lg
Am Montag 30 Mai 2005 18:24 schrieb martin hochreiter:
ich würde sagen das ist eine Antwort vom DNS (10.1.0.104) aus eine Anfrage von dir (192.168.5.240) die nicht durchgelassen und geloggt wird. Du solltest danach suchen was bei dir den DNS befragt.
Nachtrag:
Was ich im Crontab gefunden hab ist der webalizer der alle 30 Minuten läuft. Der (denk ich) versucht auch DNS aufzulösen, aber warum schaffen es alle anderen Programme und webalizer nicht?
lg
Die Antworten scheinen irgendwie in der Firewall hänge zu bleiben. Warum weiss ich nicht. Musst du mal deine iptables kontrollieren. cu Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
participants (2)
-
Daniel Hanke -
martin hochreiter