Hallo Liste, ich habe ein Problem mit der Firewall auf der SuSE 9.2. Google bringt mich nicht wirklich weiter, vielleicht kann mir hier jemand helfen. Der Server ist mit zwei Netzwerk-Interfaces ausgestattet und soll das gesamte Routing (statische Routing-Tabelle mit rund 30 Einträgen) und das Masquerading für's Netzwerk auf die DSL-Leitung übernehmen. Dabei ist eh0 (192.168.9.60) das interne, dsl0 bildet an eth1 (192.168.99.99) gebunden das externe Interface. Nun zum eigentlichen Problem: die Log-Files sind voll mit folgenden Einträgen: kernel: martian source 195.211.172.1 from 195.211.172.4, on dev eth0 kernel: ll header: ff:ff:ff:ff:ff:ff:00:90:04:00:7e:ed:08:06 Wenn ich die Netzwerkverbindung trenne (also das Kabel herusziehe) hört es auf, ebenso wie es aufhört wenn ich in der Firewall das Masquerading abschalte (Yast - Firewall - Daten weiterleiten und Masquerading durchführen) Daraufhin hab ich schon diverse Sniffer ins Netz gehängt, konnte aber nix mit den IP-Adressen 195.211... finden. Ebenso ein "arping 00:90:04:00:7e:ed" bringt nur "Unbekannter Host" "tcpdump -v -i eth0|grep 195." bringt Einträge wie: 15:52:28.883327 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:28.883837 IP (tos 0x10, ttl 64, id 135, offset 0, flags [DF], length: 83) serv002.computer.ddt > srv010.computer-2004.de.domain: 59143+% [1au] PTR? 1.172.211.195.in-addr.arpa. (55) 15:52:29.634413 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:30.387189 arp who-has 195.211.172.1 (09:8f:03:03:33:82) tell 195.211.172.4 15:52:31.710661 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4 15:52:33.884443 IP (tos 0x10, ttl 64, id 23487, offset 0, flags [DF], length: 72) serv002.computer.availant-mgr > srv010.computer-2004.de.domain: [udp sum ok] 33789+ PTR? 1.172.211.195.in-addr.arpa. (44) 15:52:34.862328 IP (tos 0x10, ttl 64, id 136, offset 0, flags [DF], length: 72) serv002.computer.ddt > srv010.computer-2004.de.domain: [udp sum ok] 47782+ PTR? 1.172.211.195.in-addr.arpa. (44) 15:52:40.853359 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4 Auf srv010 läuft ein DNS, der aber nirgendwo auf der Linux-kiste (serv002) eingetragen ist. Ein arping auf die diversen MAC-Adressen im TcpDump-Log bringt nix brauchbares (Unbekannter Host)... Ich hoffe ich konnte das Problem und meine Lösungsversuche hinreichend anschaulich beschreiben. Vielleicht hat jemand eine Idee, bzw einen Lösungsvorschlag wie ich hinter das Problem kommen könnte? Grüße, Olly
Hallo, da scheint jemand mit einer IP-Adresse in deinem externen Netzwerk zu sein die nicht dem IP-Adress-Bereich deiner externen Netzwerkkarte entspricht. Wenn du die Verbindung trennst is klar das es aufhört, genauso wenn du das Masquerading abschaltest. Dann kontrolliert er das Ganze ja nicht mehr. Wobei ich das ganze eigentlich nur vom internen Netzwerk kenne. Es passiert eben manchmal das sich jemand (warum auch immer) eine andere IP-Adresse geben muß. Mal ne Frage nebenbei: warum statisches Routing?! OK, ich hab mir mein Firewall-Script selbst geschrieben. Ich hab dort aber nur eingetragen das er NAT machen soll (ist sowas ähnliches wie Masqerading) und mehr nicht. An den Routen hab ich gar nix geändert. Gehst du vom externen Interface direkt auf den DSL-Router?! Oder wie ist dein Netzwerk genau aufgebaut!? Mit freundlichen Grüßen A.Gegner "Oliver Meißner " <oliver.meissner@arcor.de> schrieb am 21.06.2005 08:07:09:
Hallo Liste,
ich habe ein Problem mit der Firewall auf der SuSE 9.2. Google bringt mich nicht wirklich weiter, vielleicht kann mir hier jemand helfen. Der Server ist mit zwei Netzwerk-Interfaces ausgestattet und soll das gesamte Routing (statische Routing-Tabelle mit rund 30 Einträgen) und das Masquerading für's Netzwerk auf die DSL-Leitung übernehmen. Dabei ist eh0 (192.168.9.60) das interne, dsl0 bildet an eth1 (192. 168.99.99) gebunden das externe Interface.
Nun zum eigentlichen Problem: die Log-Files sind voll mit folgenden Einträgen:
kernel: martian source 195.211.172.1 from 195.211.172.4, on dev eth0 kernel: ll header: ff:ff:ff:ff:ff:ff:00:90:04:00:7e:ed:08:06
Wenn ich die Netzwerkverbindung trenne (also das Kabel herusziehe) hört es auf, ebenso wie es aufhört wenn ich in der Firewall das Masquerading abschalte (Yast - Firewall - Daten weiterleiten und Masquerading durchführen)
Daraufhin hab ich schon diverse Sniffer ins Netz gehängt, konnte aber nix mit den IP-Adressen 195.211... finden. Ebenso ein "arping 00:90:04:00:7e:ed" bringt nur "Unbekannter Host"
"tcpdump -v -i eth0|grep 195." bringt Einträge wie: 15:52:28.883327 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:28.883837 IP (tos 0x10, ttl 64, id 135, offset 0, flags [DF], length: 83) serv002.computer.ddt > srv010.computer-2004.de.domain: 59143+% [1au] PTR? 1.172.211.195.in-addr.arpa. (55) 15:52:29.634413 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:30.387189 arp who-has 195.211.172.1 (09:8f:03:03:33:82) tell 195.211.172.4 15:52:31.710661 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4 15:52:33.884443 IP (tos 0x10, ttl 64, id 23487, offset 0, flags [DF], length: 72) serv002.computer.availant-mgr > srv010. computer-2004.de.domain: [udp sum ok] 33789+ PTR? 1.172.211.195.in- addr.arpa. (44) 15:52:34.862328 IP (tos 0x10, ttl 64, id 136, offset 0, flags [DF], length: 72) serv002.computer.ddt > srv010.computer-2004.de.domain: [udp sum ok] 47782+ PTR? 1.172.211.195.in-addr.arpa. (44) 15:52:40.853359 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4
Auf srv010 läuft ein DNS, der aber nirgendwo auf der Linux-kiste (serv002) eingetragen ist.
Ein arping auf die diversen MAC-Adressen im TcpDump-Log bringt nix brauchbares (Unbekannter Host)...
Ich hoffe ich konnte das Problem und meine Lösungsversuche hinreichend anschaulich beschreiben.
Vielleicht hat jemand eine Idee, bzw einen Lösungsvorschlag wie ich hinter das Problem kommen könnte?
Grüße, Olly
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Dienstag, 21. Juni 2005 08:07 schrieb Oliver Meißner:
Nun zum eigentlichen Problem: die Log-Files sind voll mit folgenden Einträgen:
kernel: martian source 195.211.172.1 from 195.211.172.4, on dev eth0 kernel: ll header: ff:ff:ff:ff:ff:ff:00:90:04:00:7e:ed:08:06
Ich hatte vor langer Zeit auch mal so ein Problem. Damals war es so, dass ein Server hinter einem Router hing, und nach einem Stromausfall hat der Router seine Default-Einstellungen geladen. Und bei denen war dummerweise die interne IP-Adresse genau die, die ich dem Server zugewiesen hatte, d.h. zweimal die gleiche IP im selben Netz. Das ist das Problem auch bei Dir, Du musst "nur" herausfinden, wo die zwei identischen IP-Adressen sind :-) HTH, Ralf.
Am Dienstag, den 21.06.2005, 08:57 +0200 schrieb Ralf Schneider:
Du musst "nur" herausfinden, wo die zwei identischen IP-Adressen sind :-)
Juhu! :-) Tip: nmap nehmen und OS raten lassen. Daraus und aus den offenen Ports kann man schon recht gut auf "Nicht-Computer-Geräte" schliessen, wie Drucker und so. Handelt es sich vermutlich um einen normalen Rechner - einfach in der Firewall blocken und warten, wo einer schreit, dass er nicht mehr surfen kann. :-) Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Hi, Oliver Meißner scribbled on 21.06.2005 08:07:
Hallo Liste,
[...]
Vielleicht hat jemand eine Idee, bzw einen Lösungsvorschlag wie ich hinter das Problem kommen könnte?
Wenn ich mich recht entsinne, gab es solche Phänomene, wenn im Netzwerk ein Windows PC mit einer AVM Fritz!Karte lief. Bei den 'neueren' Treibern wird dort offenbar ein 'AVM Fritz! Netz Treiber' (oder öhnlich) eingerichtet und aktiviert ... kann es bei Dir daran liegen?
Grüße, Olly
Gruß Torsten
participants (5)
-
age@ifak-system.com -
Joerg Rossdeutscher -
Oliver Meißner -
Ralf Schneider -
Torsten E.