Hallo,
da scheint jemand mit einer IP-Adresse in deinem externen Netzwerk zu sein
die nicht dem IP-Adress-Bereich deiner externen Netzwerkkarte entspricht.
Wenn du die Verbindung trennst is klar das es aufhört, genauso wenn du das
Masquerading abschaltest. Dann kontrolliert er das Ganze ja nicht mehr.
Wobei ich das ganze eigentlich nur vom internen Netzwerk kenne. Es passiert
eben manchmal das sich jemand (warum auch immer) eine andere IP-Adresse
geben muß.
Mal ne Frage nebenbei: warum statisches Routing?! OK, ich hab mir mein
Firewall-Script selbst geschrieben. Ich hab dort aber nur eingetragen das
er NAT machen soll (ist sowas ähnliches wie Masqerading) und mehr nicht. An
den Routen hab ich gar nix geändert.
Gehst du vom externen Interface direkt auf den DSL-Router?! Oder wie ist
dein Netzwerk genau aufgebaut!?
Mit freundlichen Grüßen
A.Gegner
"Oliver Meißner "
Hallo Liste,
ich habe ein Problem mit der Firewall auf der SuSE 9.2. Google bringt mich nicht wirklich weiter, vielleicht kann mir hier jemand helfen. Der Server ist mit zwei Netzwerk-Interfaces ausgestattet und soll das gesamte Routing (statische Routing-Tabelle mit rund 30 Einträgen) und das Masquerading für's Netzwerk auf die DSL-Leitung übernehmen. Dabei ist eh0 (192.168.9.60) das interne, dsl0 bildet an eth1 (192. 168.99.99) gebunden das externe Interface.
Nun zum eigentlichen Problem: die Log-Files sind voll mit folgenden Einträgen:
kernel: martian source 195.211.172.1 from 195.211.172.4, on dev eth0 kernel: ll header: ff:ff:ff:ff:ff:ff:00:90:04:00:7e:ed:08:06
Wenn ich die Netzwerkverbindung trenne (also das Kabel herusziehe) hört es auf, ebenso wie es aufhört wenn ich in der Firewall das Masquerading abschalte (Yast - Firewall - Daten weiterleiten und Masquerading durchführen)
Daraufhin hab ich schon diverse Sniffer ins Netz gehängt, konnte aber nix mit den IP-Adressen 195.211... finden. Ebenso ein "arping 00:90:04:00:7e:ed" bringt nur "Unbekannter Host"
"tcpdump -v -i eth0|grep 195." bringt Einträge wie: 15:52:28.883327 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:28.883837 IP (tos 0x10, ttl 64, id 135, offset 0, flags [DF], length: 83) serv002.computer.ddt > srv010.computer-2004.de.domain: 59143+% [1au] PTR? 1.172.211.195.in-addr.arpa. (55) 15:52:29.634413 arp who-has 195.211.172.1 (01:0c:02:05:30:2e) tell 195.211.172.4 15:52:30.387189 arp who-has 195.211.172.1 (09:8f:03:03:33:82) tell 195.211.172.4 15:52:31.710661 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4 15:52:33.884443 IP (tos 0x10, ttl 64, id 23487, offset 0, flags [DF], length: 72) serv002.computer.availant-mgr > srv010. computer-2004.de.domain: [udp sum ok] 33789+ PTR? 1.172.211.195.in- addr.arpa. (44) 15:52:34.862328 IP (tos 0x10, ttl 64, id 136, offset 0, flags [DF], length: 72) serv002.computer.ddt > srv010.computer-2004.de.domain: [udp sum ok] 47782+ PTR? 1.172.211.195.in-addr.arpa. (44) 15:52:40.853359 arp who-has 195.211.172.1 (09:74:03:03:49:db) tell 195.211.172.4
Auf srv010 läuft ein DNS, der aber nirgendwo auf der Linux-kiste (serv002) eingetragen ist.
Ein arping auf die diversen MAC-Adressen im TcpDump-Log bringt nix brauchbares (Unbekannter Host)...
Ich hoffe ich konnte das Problem und meine Lösungsversuche hinreichend anschaulich beschreiben.
Vielleicht hat jemand eine Idee, bzw einen Lösungsvorschlag wie ich hinter das Problem kommen könnte?
Grüße, Olly
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com