Am Montag, 29. März 2004 12:06 schrieb Joerg Rossdeutscher:
Am Mo, den 29.03.2004 schrieb Michael Raab um 10:28:
* Steffen Petter postete am 29. Mär. 2004 folgendes:
Nachdem ich fleißig gegoogelt habe, insbesondere über die Archive der SuSE Listen, habe ich auch keine befriedigende Erklärung auf folgendes Problem bekommen:
Also ich weise bei mir IPTABLES mit
for i in /proc/sys/net/ipv4/conf/*; do \ echo 0 > $i/log_martians 2> /dev/null; done
an, das die ausserirdischen Aktivitäten nicht geloggt werden. ;)
Es wäre sehr sinnvoll, herauszufinden, /warum/ martians an deinem System ankommen. Es handelt sich dabei um Datenpakete, die an diesem Interface nix zu suchen haben, und bei einer Firewall ist es durchaus interessant, warum, z.B. externe IP-Pakete am internen Netzwerk rumgeistern. Vermutlich ist es nichtmal eine Attacke, sondern eine Fehlkonfiguration.
Erstmal Dank für die Antworten aber die Ratschläge wie ich die Fehlermeldungen abstelle bringen mich auf der Suche nach der Ursache nicht weiter. Die Fehlermeldung: Mar 25 14:25:18 anton kernel: martian source 123.123.123.123 from 127.0.0.1, on dev eth0 Mar 25 14:25:18 anton kernel: ll header: 00:02:b3:cd:89:72:00:04:dd:56:12:c2:08:00 hat, meiner Meinug nach, nichts mit der SuSEFirewall2 zu tun. Die IP-Adresse (hier nur eine Beispiel IP) 123.123.123.123 ist die des betreffenden Rechners selbst. Er schickt sich also selbst Pakete (bzw. mit eigener IP-Adresse als Absender). Mit tcpdump habe ich schon einen Anhaltspunkt, wie in der Ursprungsmail beschrieben, entdeckt. Man beachte die gleiche Urzeit: 14:25:18.060280 localhost.http > anton.example.com.1177: R 0:0(0) ack 690 814977 win 0 Die Angabe anton.example.com ist nur ein Ersatz für den eigenen Rechner. Da es nicht der lokale Apache sein kann, der die Pakete herumschickt, war ich nun auf der Suche nach geeigneten Eingrenzungsmethoden. Also noch einmal die Frage: Wie kann ich herausfinden welcher Dienst bzw. Software oder Fehlkonfiguration die Fehlermeldung verursacht? Mit welchen Optionen könnte ich tcpdump oder ethereal bemühen? Noch einmal: Ich will die Protokollierung dieser Fehlermeldung nicht abschalten! (Die SuSEFirewall2 läuft nur zum Schutz des eigenen Rechners und nicht für ein internes Netz. Demzufolge handelt es sich nicht um einen Router, Gateway oder dergleichen.) Folgende Dienste laufen auf dem Rechner: * Apache 1.3.* * Postfix * mysql * USV-Dämon * antivir * SuSEFirewall2 * snort Grüße, Steffen.