SuSE-7.0 Prof: Firewall: Komisch Meldungen seit update
Hallo Linuxer, eit dem Update von 6.4 auf 7.0 kommen eigenartige Meldungen in der /v/l/m: Oct 3 09:08:03 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1716 F=0x0000 T=255 (#5) Oct 3 09:08:09 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1718 F=0x0000 T=255 (#5) ppp0 ist das ADSL-IFACE (Telekom). Bei 6.4 kamen diese Meldungen nicht. Warum probiert hier jemand irgendwas auf Port 3 zu schicken??? Kann man das abschalten? Ciao, Meini. -- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Tach. Meinhard Schneider wrote:
Hallo Linuxer,
elber Linuxer ! ;-)
seit dem Update von 6.4 auf 7.0 kommen eigenartige Meldungen in der /v/l/m: Oct 3 09:08:03 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1716 F=0x0000 T=255 (#5) Oct 3 09:08:09 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1718 F=0x0000 T=255 (#5)
ppp0 ist das ADSL-IFACE (Telekom). Bei 6.4 kamen diese Meldungen nicht. Warum probiert hier jemand irgendwas auf Port 3 zu schicken??? Kann man das abschalten?
offensichtlich ist der Paketfilter (ipchains + Zubehör) auf Deinem Rechner installiert und aktiv. Bei Deiner SuSE 6.4-Installation war das anscheinend nicht der Fall. Die Meldungen, die Du bekommst, sind Meldungen des Paketfilters, daß Pakete, die ein Rechner mit der IP-Adresse 62.224.0.67 (p3EE00043.dip.t-dialin.net) an Deinen Rechner (213.68.118.130 / Zentral.bildstelle-kassel.de) an Port 3 geschickt hat, weggeworfen hat (DENY). Kannst Du Dir jetzt einen Reim drauf machen ? Abschalten kannst Du nur den Paketfilter bzw. sein Reportverhalten. man ipchains. Jens -- Jens-Chr. Guenther <je.guenther@tu-bs.de>, Student der Elektrotechnik 2. Braunschweiger Linux-Tage 13./14. Mai 2000 http://Braunschweiger.LinuxTage.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Tach. Meinhard Schneider wrote:
Hallo Linuxer,
elber Linuxer ! ;-)
seit dem Update von 6.4 auf 7.0 kommen eigenartige Meldungen in der /v/l/m: Oct 3 09:08:03 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1716 F=0x0000 T=255 (#5) Oct 3 09:08:09 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1718 F=0x0000 T=255 (#5)
ppp0 ist das ADSL-IFACE (Telekom). Bei 6.4 kamen diese Meldungen nicht. Warum probiert hier jemand irgendwas auf Port 3 zu schicken??? Kann man das abschalten?
offensichtlich ist der Paketfilter (ipchains + Zubehör) auf Deinem Rechner installiert und aktiv. Bei Deiner SuSE 6.4-Installation war das anscheinend nicht der Fall. Die Meldungen, die Du bekommst, sind Meldungen des Paketfilters, daß Pakete, die ein Rechner mit der IP-Adresse 62.224.0.67 (p3EE00043.dip.t-dialin.net) an Deinen Rechner (213.68.118.130 / Zentral.bildstelle-kassel.de) an Port 3 geschickt hat, weggeworfen wurden (DENY). ^^^^^^ Kannst Du Dir jetzt einen Reim drauf machen ? Abschalten kannst Du nur den Paketfilter bzw. sein Reportverhalten. man ipchains. Jens -- Jens-Chr. Guenther <je.guenther@tu-bs.de>, Student der Elektrotechnik 2. Braunschweiger Linux-Tage 13./14. Mai 2000 http://Braunschweiger.LinuxTage.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Jens-Christian Guenther schrieb:
offensichtlich ist der Paketfilter (ipchains + Zubehör) auf Deinem Rechner installiert und aktiv. Richtig. Bei Deiner SuSE 6.4-Installation war das anscheinend nicht der Fall. Falsch. Die Firewall war auch schon unter 6.4 installiert und aktiviert. Die betr. Meldungen kommer aber erst seit dem Update auf 7.0.
Die Meldungen, die Du bekommst, sind Meldungen des Paketfilters, daß Pakete, die ein Rechner mit der IP-Adresse 62.224.0.67 (p3EE00043.dip.t-dialin.net) an Deinen Rechner (213.68.118.130 / Zentral.bildstelle-kassel.de) an Port 3 geschickt hat, weggeworfen wurden (DENY). Das sehe ich nicht so! Es ist ein "output deny", d.h. mein Rechner probiert an 213.68.118.130 etwas zu schicken.
Kannst Du Dir jetzt einen Reim drauf machen ? Nein. Ich weiss, was die Meldung bedeutet. Mein Rechner (z.Z. 62.224.0.67) will irgendwas von dem Server in der Bildstelle (ist mein Arbeitgeber). Ich habe aber nichts besonderes laufen, dass diesen Traffic verursacht. Und schon garnichts was sich "compressnet" (laut /etc/services) nennt. Meine Frage war nun, was "compressnet" ist und von welchen Programmen das genutzt wird. Die Ziel-IP ändert sich aber öfters, bei einem neuem Verbindungsaufbau ist es zuerst immer eine T-Online-IP, aber immer der selbe Port (3).
Abschalten kannst Du nur den Paketfilter bzw. sein Reportverhalten. Das ist keine Lösung. Damit würde ich nur das Sympthom bekäpfen, nämlich eine syslog-Meldung. Ich will aber wissen, welches Programm diesen traffic verursacht. THX!
Ciao, Meini. -- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Dienstag, 03. Oktober 2000 um 10:01 (+0200) schrieb Meinhard Schneider:
Nein. Ich weiss, was die Meldung bedeutet. Mein Rechner (z.Z. 62.224.0.67) will irgendwas von dem Server in der Bildstelle (ist mein Arbeitgeber). Ich habe aber nichts besonderes laufen, dass diesen Traffic verursacht. Und schon garnichts was sich "compressnet" (laut /etc/services) nennt. Meine Frage war nun, was "compressnet" ist und von welchen Programmen das genutzt wird. Die Ziel-IP ändert sich aber öfters, bei einem neuem Verbindungsaufbau ist es zuerst immer eine T-Online-IP, aber immer der selbe Port (3).
Es wird aber laut deiner ipchains-Ausgabe nicht tcp/udp geblockt, sondern icmp ("PROTO=1"). Kann es sein, das du die Verbindung mit "ping" aufbaust, bzw. beim Verbindungsaufbau die Erreichbarkeit bestimmter Server mit "ping" überprüfen willst? Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers -- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Andreas Koenecke schrieb:
Es wird aber laut deiner ipchains-Ausgabe nicht tcp/udp geblockt, sondern icmp ("PROTO=1"). Kann es sein, das du die Verbindung mit "ping" aufbaust, bzw. beim Verbindungsaufbau die Erreichbarkeit bestimmter Server mit "ping" überprüfen willst? Nein.
Ciao, Meini. -- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo,
Andreas Koenecke schrieb:
Es wird aber laut deiner ipchains-Ausgabe nicht tcp/udp geblockt, sondern icmp ("PROTO=1"). Kann es sein, das du die Verbindung mit "ping" aufbaust, bzw. beim Verbindungsaufbau die Erreichbarkeit bestimmter Server mit "ping" überprüfen willst? Nein.
Benutzt Du das Suse-Firewall-Skript ? Olaf --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Olaf Lange schrieb:
Benutzt Du das Suse-Firewall-Skript ? Ja.
Ciao, Meini. -- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo,
Olaf Lange schrieb:
Benutzt Du das Suse-Firewall-Skript ? Ja.
Bei mir hat es geholfen, FW_ALLOW_FW_TRACEROUTE="yes" zu setzen. Olaf --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Olaf Lange schrieb:
Bei mir hat es geholfen, FW_ALLOW_FW_TRACEROUTE="yes" zu setzen. Vielen Dank für den Tip. Ich kann keine Meldungen mehr feststellen. Aber was hat das ganze mit traceroute zu tun gehabt?
Ciao, Meini. -- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Meinhard,
Bei mir hat es geholfen, FW_ALLOW_FW_TRACEROUTE="yes" zu setzen. Vielen Dank für den Tip. Ich kann keine Meldungen mehr feststellen. Aber was hat das ganze mit traceroute zu tun gehabt?
Ein traceroute verursacht ICMP-Nachrichten (TTL exceeded). Scheint als ob SuSE keinen Unterschied zwischen "Destination unreachable" und "Time to live exceeded" macht. Gruß Wolfram --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Tue, 03 Oct 2000 10:01:24 +0200, Meinhard Schneider wrote:
Hallo,
Jens-Christian Guenther schrieb:
offensichtlich ist der Paketfilter (ipchains + Zubehör) auf Deinem Rechner installiert und aktiv. Richtig. Bei Deiner SuSE 6.4-Installation war das anscheinend nicht der Fall. Falsch. Die Firewall war auch schon unter 6.4 installiert und aktiviert. Die betr. Meldungen kommer aber erst seit dem Update auf 7.0.
Die Meldungen, die Du bekommst, sind Meldungen des Paketfilters, daß Pakete, die ein Rechner mit der IP-Adresse 62.224.0.67 (p3EE00043.dip.t-dialin.net) an Deinen Rechner (213.68.118.130 / Zentral.bildstelle-kassel.de) an Port 3 geschickt hat, weggeworfen wurden (DENY). Das sehe ich nicht so! Es ist ein "output deny", d.h. mein Rechner probiert an 213.68.118.130 etwas zu schicken.
Kannst Du Dir jetzt einen Reim drauf machen ? Nein. Ich weiss, was die Meldung bedeutet. Mein Rechner (z.Z. 62.224.0.67) will irgendwas von dem Server in der Bildstelle (ist mein Arbeitgeber). Ich habe aber nichts besonderes laufen, dass diesen Traffic verursacht. Und schon garnichts was sich "compressnet" (laut /etc/services) nennt. Meine Frage war nun, was "compressnet" ist und von welchen Programmen das genutzt wird. Die Ziel-IP ändert sich aber öfters, bei einem neuem Verbindungsaufbau ist es zuerst immer eine T-Online-IP, aber immer der selbe Port (3).
Das hier sollte das erklären. compressnet/tcp compressnet/tcp is a protocol that is used to compress TCP connections for WANS. It used two ports to compress tcp conections, one to send the compressed TCP connection data through, and one used for the management of CompressNet. This is a commercial product only. It's time to close windows !!! with best regards from Dortmund Matthias Popp E2 : +49-179-4003622 PGP Public Key Fingerprint = 71 13 E9 4B 89 E5 88 6C 66 1D B8 E8 32 3A AE AB --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Die Meldungen, die Du bekommst, sind Meldungen des Paketfilters, daß Pakete, die ein Rechner mit der IP-Adresse 62.224.0.67 (p3EE00043.dip.t-dialin.net) an Deinen Rechner (213.68.118.130 / Zentral.bildstelle-kassel.de) an Port 3 geschickt hat, weggeworfen wurden (DENY). Das sehe ich nicht so! Es ist ein "output deny", d.h. mein Rechner probiert an 213.68.118.130 etwas zu schicken.
Korrektamente, seh ich genau so. Habe selbiges Problem immer, wenn ich über POP mail bei meinem Provider checke.
Kannst Du Dir jetzt einen Reim drauf machen ? Nein. Ich weiss, was die Meldung bedeutet. Mein Rechner (z.Z. 62.224.0.67) will irgendwas von dem Server in der Bildstelle (ist mein Arbeitgeber). Ich habe aber nichts besonderes laufen, dass diesen Traffic verursacht. Und schon garnichts was sich "compressnet" (laut /etc/services) nennt. Meine Frage war nun, was "compressnet" ist und von welchen Programmen das genutzt wird. Die Ziel-IP ändert sich aber öfters, bei einem neuem Verbindungsaufbau ist es zuerst immer eine T-Online-IP, aber immer der selbe Port (3).
Das hat AFAIK nichts mit compressnet-Service zu tun, sondern vielmehr etwas mit PROTO(KOLL)1 aus /etc/protocols zu tun. Genaueres weiß ich aber auch nicht. Hatte selbiges Problem hier schon mal gepostet, aber keine befriedigende Antort bekommen. AFAIR ist das irgendeine Meldung "Destination unreachable". Darauf kann ich mir aber auch keinen eim machen. Diese Meldungen tauchen bei mir bei jedem Verbindungsaufbau auf (1x bei DoD und genau 3x beim Abruf des POPs meines Providers). Wäre aauch für jeden Tip dankbar...
Abschalten kannst Du nur den Paketfilter bzw. sein Reportverhalten. Das ist keine Lösung. Damit würde ich nur das Sympthom bekäpfen,
nämlich
eine syslog-Meldung. Ich will aber wissen, welches Programm diesen traffic verursacht.
ACK Olaf --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Meinhard,
Oct 3 09:08:03 linux-router kernel: Packet log: output DENY ppp0 PROTO=1 62.224.0.67:3 213.68.118.130:3 L=108 S=0xC0 I=1716 F=0x0000 T=255 (#5)
Das ist ein ICMP-Paket, genauer "Port unreachable". Vermutlich wollte 213.68.118.130 eine Verbindung zu Deinem Rechner aufbauen (ident ??), die Du nicht zuläßt und mit einem REJECT abweist. Wenn dann die Paketfilterregeln das Versenden von ICMP-Paketen verbieten kommt es zu so einem Effekt. Gruß Wolfram. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Wolfram Joost schrieb: [...]
Das ist ein ICMP-Paket, genauer "Port unreachable". Vermutlich wollte 213.68.118.130 eine Verbindung zu Deinem Rechner aufbauen (ident ??), die Du nicht zuläßt und mit einem REJECT abweist. Wenn dann die Paketfilterregeln das Versenden von ICMP-Paketen verbieten kommt es zu so einem Effekt. AH! Das erklärt einiges. Kann es sein, dass das was mit dem Abruf der mails per POP zu tun hat? Hat SuSE vielleicht in der 7.0 einen POP-Server eingebaut, er per ident den Abrufer zu identifizieren versucht? Wie erlaube ich das Versenden des ICMPs? Ciao, Meini.
-- Meinhard Schneider meini@meini.org; #ICQ:22574951 http://www.meini.org GNUPG/PGP-Keys available! (please contact me or visit my homepage) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Meinhard,
Das ist ein ICMP-Paket, genauer "Port unreachable". Vermutlich wollte 213.68.118.130 eine Verbindung zu Deinem Rechner aufbauen (ident ??), die Du nicht zuläßt und mit einem REJECT abweist.
AH! Das erklärt einiges. Kann es sein, dass das was mit dem Abruf der mails per POP zu tun hat? Hat SuSE vielleicht in der 7.0 einen
Hmm, verstehe ich nicht so ganz. Wolltest Du von 213.68.118.130 Mail abholen? Dann wäre es nicht ungewöhnlich, wenn die Gegenseite einen ident-Versuch macht. Dein eigener POP-Server ist bei diesem Szenario aber an der Kommunikation nicht beteiligt.
Wie erlaube ich das Versenden des ICMPs?
man ipchains. Sorry, aber ich habe mich mit den SuSE-Scripten nicht beschäftigt, selbst ist der Mann ;-) Aber alle ICMP-Typen würde ich auch nicht freigeben. Gruß Wolfram. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (6)
-
akoenecke@akoenecke.de -
je.guenther@gmx.de -
meini@meini.org -
olaf.lange@transmedia.de -
pmshell@gmx.net -
W.Joost@gmx.net