In unregelmässigen Abständen (mehrmals täglich) finde ich auf dem Server cats folgende Meldungen in den Logs: cats kernel: martian source 192.168.11.255 from 192.168.11.201, on dev eth1 cats kernel: ll header: ff:ff:ff:ff:ff:ff:00:80:5f:26:c6:0b:08:00 Im Prinzip kenne ich die Meldung im Zusammenhang mit IP Adress "Spoofing". Aber, ... cats hat im internen Netzwerk die IP Adresse 192.168.11.201, eth0 ist das Interface zum externen Netzwerk (Internet), eth1 ist das Interface zum internen Netzwerk. Die Meldung betrifft also sozusagen sich selbst. Wie kann das sein? Wie kann ich das abstellen? Wie ist der llheader zu interpretieren? Peter
Hallo Peter, On Sat, Nov 23, 2002 at 07:02:47PM +0100, Peter Gloor wrote:
Die Meldung betrifft also sozusagen sich selbst. Wie kann das sein? Wie kann ich das abstellen?
ich nehm mal an Du hast die Susefirewall2 am laufen. Ich hatte
genau das selbe. Abhilfe schafft, die Kernelsecurity features
in der Firewall auszuschalten. Ab SuSE 8 im file:
/etc/sysconfig/SuSEfirewall2
diesen Eintrag auf "no" setzen:
FW_KERNEL_SECURITY="no"
Firewall restarten oder booten.
have phun ;)
miLosh
--
this message was sent by:
+------------------------------+
|.::|[ The pleXus Network ]|::.|
+------------------------------+
www: plexus.shacknet.nu |
ftp: plexus.shacknet.nu +-------------------+
irc: plexus.shacknet.nu:6667 channel: #nocturne |
+--------------------------------------------------+-----------+
pub 1024D/C944D699 miLosh (pleXus)
milosh@plexus.shacknet.nu wrote:
Hallo Peter,
On Sat, Nov 23, 2002 at 07:02:47PM +0100, Peter Gloor wrote:
Die Meldung betrifft also sozusagen sich selbst. Wie kann das sein? Wie kann ich das abstellen?
ich nehm mal an Du hast die Susefirewall2 am laufen. Ich hatte genau das selbe. Abhilfe schafft, die Kernelsecurity features in der Firewall auszuschalten. Ab SuSE 8 im file: /etc/sysconfig/SuSEfirewall2
[ ... ] ... über Google gefunden: in /sbin/SuSEfirewall2 echo 1 > $i/log_martians 2> /dev/null nach echo 0 > $i/log_martians 2> /dev/null abändern Viele Grüsse Joachim
On Sat, Saturday, November 23, 2002 10:40 PM, milosh wrote:
[...] ich nehm mal an Du hast die Susefirewall2 am laufen. Ich hatte genau das selbe. Abhilfe schafft, die Kernelsecurity features in der Firewall auszuschalten. Ab SuSE 8 im file: /etc/sysconfig/SuSEfirewall2
diesen Eintrag auf "no" setzen:
FW_KERNEL_SECURITY="no"
Firewall restarten oder booten. [...]
Das gefällt mir nicht ganz. Ich will ja nicht die Kernel Security ganz abschalten. Ich möchte das nur für das interne Netzwerk tun. Wenn der Hofhund immer bellt wenn jemand den Stall betritt, dann will ich ihn umerziehen, so dass er nur noch bellt, wenn ein Fremder kommt und ich will ihm das bellen nicht ganz abstellen. Es wäre zumindest ganz gut, wenn ich die "martian source" Meldungen für das externe Interface weiterhin bekomme. Wenn sich die Meldungen für bestimmte Adressen häufen, dann kann ich diese bereits am Router blockieren. Ich denke, dass es eher damit zu tun hat, dass bezüglich des internen Netzwerks irgend etwas falsch konfiguriert ist. Ich weiss aber nicht was das sein kann. Ich hatte ursprünglich als Gateway für das interne Netzwerk einen Windows NT Server konfiguriert (den gleichen, wie für alle andern Server und PC's im internen Netzwerk). Dies hat jedoch aus unbekannten Gründen nicht funktioniert. Ich habe dann vorübergehend einen ISDN Router ins Netz gehängt und diesen als Gateway genommen. Damit hat es funktioniert. Zuletzt habe ich dann die eigene IP Adresse als Gateway eingesetzt und den ISDN Router (den ich anderweitig benötige) wieder entfernt. Damit hat es auch funktioniert. Vielleicht ist das die Ursache der Meldungen? Meine IP routing table sieht also etwa so aus: Destination Gateway Genmask Flags Iface 212.xx.yyy.192 * 255.255.255.240 U eth0 192.168.11.0 cats.x-develop 255.255.255.0 UG eth1 default 212.xx.yyy.193 0.0.0.0 UG eth0 Gruss Peter
participants (3)
-
Joachim Kieferle -
milosh@plexus.shacknet.nu -
Peter Gloor