Hallo Leute, Ich sag es direkt, ich habe von Netzwerken so gut wie keine Ahnung. :-(( Deshalb verwende ich auch die Susefirewall und muss mich drauf ver- lassen. Ich wuerde gern wissen, ob ich, da ich Samba verwende, mich nun irgendwie vor diesem neuen Wurm schuetzen muss. Laut Micro- soft und Google waere mein System (Win98) ja nicht betroffen. Mein Netwerk: DSL => Firewall => Suse 8.2 => => Win89 Suse 8.2 => Samba => Win98 Firewall interne Schnittstelle und externe Schnittstelle abgesichert. (ppp0 und eth1) Keine Dienste vom Server aus erreichbar. [x] Traceroute erlauben [x] Daten weiterleiten und Masquerading [x] Alle laufenden Dienste schützen [ ] Vor internem Netzwerk schützen Was mich stutzig macht ist folgendes: (Auszug aus /var/log/warn) Aug 20 09:23:32 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:33 (none) kernel: martian source 217.5.115.7 from 169.254.94.160, on dev eth1 Aug 20 09:23:33 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:35 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 Aug 20 09:23:35 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:36 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 Aug 20 09:23:36 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:38 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 usw. Laut google bedeutet das, das hier eine ungueltige Absenderadresse versucht auf das Netzwerk zuzugreifen. Diese Adressen gibt es bei mir nicht.! Meine eigene dynamische Adresse bzw. die meines Providers lauten anders. Das passiert, wenn ich von Windows aus mich mit Samba verbinde. Muss ich irgendwas absichern.?? Ich bin mir auch nicht so sicher, ob ich Samba und Win richtig konfiguriert habe. Hab erst gestern damit angefangen und alles ist noch im Rohbau. Tschuess Hermann
Hermann Schuster schireb:
Hallo Leute,
Ich sag es direkt, ich habe von Netzwerken so gut wie keine Ahnung. :-((
Deshalb verwende ich auch die Susefirewall und muss mich drauf ver- lassen. Ich wuerde gern wissen, ob ich, da ich Samba verwende, mich nun irgendwie vor diesem neuen Wurm schuetzen muss. Laut Micro- soft und Google waere mein System (Win98) ja nicht betroffen.
Mein Netwerk:
DSL => Firewall => Suse 8.2 => => Win89
Suse 8.2 => Samba => Win98
Firewall interne Schnittstelle und externe Schnittstelle abgesichert. (ppp0 und eth1) Keine Dienste vom Server aus erreichbar. [x] Traceroute erlauben [x] Daten weiterleiten und Masquerading [x] Alle laufenden Dienste schützen [ ] Vor internem Netzwerk schützen
hast du das port 134-135 offen !? das heisst du gehst über nat raus, oder !? werden deine default ports auf dich weitergeleitet? mach mal einen check welche ports "offen" sind.
Was mich stutzig macht ist folgendes:
(Auszug aus /var/log/warn) Aug 20 09:23:32 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:33 (none) kernel: martian source 217.5.115.7 from 169.254.94.160, on dev eth1 Aug 20 09:23:33 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:35 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 Aug 20 09:23:35 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:36 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 Aug 20 09:23:36 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 09:23:38 (none) kernel: martian source 194.25.2.129 from 169.254.94.160, on dev eth1 usw.
wechselt bei dir so schnell die ip !? [...] gruss,elmar
On Wed, Aug 20, 2003 at 03:07:19PM +0200, Elmar Blaschka wrote: [.....]
hast du das port 134-135 offen !? das heisst du gehst über nat raus, oder !? werden deine default ports auf dich weitergeleitet? mach mal einen check welche ports "offen" sind.
Was mich stutzig macht ist folgendes:
(Auszug aus /var/log/warn) Aug 20 09:23:32 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00
[....].
wechselt bei dir so schnell die ip !?
Hm.... Ausgabe von netstat: Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 439/smbd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1224/portmap tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 2034/X tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1729/httpd tcp 0 0 0.0.0.0:119 0.0.0.0:* LISTEN 1930/inetd tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 1618/cupsd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1721/sendmail: acce tcp 0 0 :::22 :::* LISTEN 1717/sshd udp 0 0 192.168.0.6:137 0.0.0.0:* 417/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 417/nmbd udp 0 0 192.168.0.6:138 0.0.0.0:* 417/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 417/nmbd udp 0 0 127.0.0.1:1047 0.0.0.0:* 2654/smbd udp 0 0 0.0.0.0:111 0.0.0.0:* 1224/portmap udp 0 0 0.0.0.0:631 0.0.0.0:* 1618/cupsd Ein telnet localhost 134 bzw. 135 ergab connection refused, also gehe ich mal davon aus, das die Ports nicht offen sind. Das ganze passiert reproduzierbar, sobald ich von Win98 aus via Samba den Linux-Rechner aufrufe. Diese Adresen kann ich mir beim besten willen nicht erklaeren. Das ganze ist also aus dem lokalen Netzwerk, nicht von außen. Es funktioniert aber alles. Ich kann sogar Windows-Programme vom Linux-Verzeichniss aus starten. Aug 20 16:26:58 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 16:26:59 (none) kernel: martian source 217.5.115.7 from 169.254.82.127, on dev eth1 Aug 20 16:26:59 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 16:27:01 (none) kernel: martian source 194.25.2.129 from 169.254.82.127, on dev eth1 Aug 20 16:27:01 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 16:27:02 (none) kernel: martian source 194.25.2.129 from 169.254.82.127, on dev eth1 Aug 20 16:27:02 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 16:27:04 (none) kernel: martian source 194.25.2.129 from 169.254.82.127, on dev eth1 Aug 20 16:27:04 (none) kernel: ll header: 00:c1:26:0b:15:a2:00:c0:26:87:40:af:08:00 Aug 20 16:27:04 (none) kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=193.201.107.250 DST=217.83.111.2 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=50195 DF PROTO=TCP SPT=52850 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) nat ist per Susefirewall eingestellt, da Win98 ja Internetzugang über den Linux-Rechner hatt. Die Frage "werden deine default ports auf dich weitergeleitet?" verstehe ich leider nicht. Tschuess Hermann
participants (2)
-
Elmar Blaschka -
HermannSchuster@t-online.de