* On Thu, 26 Sep 2002 at 20:48 +0200, Daniel Schmatz wrote:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
Bind Apache 1.3 Sendmail FTP Webmin
Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe:
09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP [...] mit anderen Worten: er versucht alle Ports!
Nein. Der Destination Port ist immer 113. Das ist genau _einer_.
Was könnte die Ursache dafür sein?
Ein scheinbar äusserst dämliches Ding, daß sich Firewall nennt. Das sind ganz normale handelsübliche ident-Lookups, mit denen manche Dienste auf Deinem Rechner (195.202.171.67) beim Client (195.202.171.72) anfragen, weclher Benutzer die Verbindung aufgebaut hat. Mit einem Portscan hat das nichts, aber auch _gar_nichts_ zu tun[1]. Du hast 3 Möglichkeiten: - Erklär Deinem Kunden, daß er Schrott hat, und das ignorieren soll. - Installiere etwas, was den Namen firewall verdient beim Kunden. - Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten): iptables -A OUTPUT -p tcp --dport ident -j REJECT [1] Solange man die Definition von Portscan nicht so ausweitet, daß das Probieren eines einzigen Ports ein Portscan ist. Womit aber dann so ziemlich jeder, der tcp oder udp requests/Verbindungen macht, portscannen tun würde. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at