Hallo Jan. THX für die tipps. Nach laengeren recherchen meines ISP hat sich ergeben .... Jan Stifter schrieb:
On Tue, 28 Mar 2000 23:48:27 +0200, Software- und Internetsupport Schauer
wrote: [Firewall loggt immer eine IP]
Als ich mir jedoch mit tail -f die beiden Log-Dateien /var/log/firewall und /var/log/messages angesehen habe, stellte ich fest, daß auf der world-side (eth1 - an Kabelmodem) meiner Firewall ein "access denied" für die IP-Adresse 10.1.1.210 alle 3 Sekunden mitgeschrieben wird. Nach Rücksprache mit meinem ISP, und einer Nacht der Suche, wurde mir von diesem mitgeteilt, daß ein falsch konfigurierter Router in Vaduz auf meine statische IP-Adresse zuzugreifen versucht. Weiters teilte mir mein Provider mit, daß die IP-Adresse 10.1.1.210 mittlerweile gesperrt worden sei. So weit so gut. Heute abends habe ich wieder in die Logdateien reingesehen, mußte jedoch feststellen, daß sich nichts geändert hat. Wenn ich die Verbindung zu meinem Kabelmodem trenne (physikalisch), wird auch kein Zugriff mehr von der besagten IP-Adresse registriert. Sobald die Verbindung wieder hergestellt wird beginnt das Ganze wieder von forne (alle 3 Sekunden).
es bleibt zu klaeren, ob was zwischen deinem kabelmodem und dem firewall generiert wird, oder ob das zeugs von deinem provider reinkommt. evtl hat das modem eine led, die anzeigt, ob was reinkommt.
... kein prob zwischen kabelmodem und firewall ...
mein provider schickt mir auch hin und wieder sehr komische packete, die mich gar nichts angehen. normalerweise mache ich ihn darauf aufmerksam und nehme danach in die ipchains konfiguration eine zeile rein, z.b.
ipchains -A input -i $FW_IN -p tcp -s 10.1.1.210 -j DENY
... danke, war jedoch nicht nötig
so dass mir das zeugs nicht mehr geloggt wird und mein log-file nicht aufgeblasen wird.
Daher meine Frage:
- Kann es sein, daß ich die Firewall nicht richtig konfiguriert habe?
eher unwahrscheinlich in deinem fall
da hattest recht.
- Ist es möglich, daß es einen loopback mit der Adresse 10.1.1.210 auf meiner externen Netzwerkkarte gibt?
habe noch nie von so was gehoert
- Oder ist hier mit einem gezielten Angriff von Außen zu rechnen.
sicher nicht.
w.o. folgende situation hatte sich ergeben (lt.ISP): internes netzwerk (10.1.1.0) in vaduz sollte über gw und kabelmodem auf ein internes netzwerk der selben firma in feldkirch geroutet werden - alle im selben kabelnetz. da wir in unserem kabelnetz die IP-adresse 10.1.1.0 als internes netzwerk haben, und von unserem ISP das routing von 10er-adressen nicht blockiert wurde, landeten die pakete auf meiner externen schnittstelle. was mir jedoch nicht zufriedenstellend beantwortet werden konnte ist: wieso die IP-adresse 10.1.1.210 auf meine 194.208. ..... geroutet wurde. eigenartig? abschließend bleibt anzumerken, daß alle beteiligten den selben ISP haben.
gruss... ...jan
gruss ... josef -- Software- und Internetsupport Schauer Nasserein 506a/5 A-6580 St.Anton am Arlberg Tel.: +43 676 4304414 Fax.: +43 5446 2375 mail: office.sis@aon.at --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com