Nochmal: iptables

Rund um die Sicherheit von Linux-Systemen

Moderator: Mike

Nochmal: iptables

Beitragvon Mike » Mo Dez 30, 2002 8:52

Hi zusammen!

Ich habe da nochmal eine Frage an die iptables-Spezies:

Ich habe da alle paar Sekunden Einträge wie diesen in /var/log/messages:

Dec 29 00:18:52 server kernel: martian source 10.254.5.25 from 10.254.0.1, on dev eth1

Das hängt ja wohl irgendwie mit den Einstellungen der Firewall zusammen, ABER: Solche Einträge kommen echt alle paar Sekunden und müllen mir natürlich das Logfile in kürzester Zeit dicht....

Frage 1: Woran liegt das?
Frage 2: Kann ich das irgendwie abstellen?
Frage 3: Sollte ich das vielleicht besser drin lassen?

Tja, ne Menge Fragen für so'n altes Jahr :)

Gruß,

Mike

================================
emerge -C windows
================================
Benutzeravatar
Mike
Administrator
Administrator
 
Beiträge: 750
Registriert: Do Aug 30, 2001 1:00
Wohnort: In Deutschland ganz oben

Beitragvon Balumir » Mo Dez 30, 2002 15:45

Hallo,

das ganze ist ein sogenantes GIU-Problemm. Hierbei steht GIU für Google Ignoring User. :wink:

Bei der Eingabe von kernel: martian source in das Formularfeld und anschliessendes Absender kommen folgende Links:

Hilfe 1

Hilfe 2

Die Ergebnisse legen nahe, das da entweder eine Routinginfo nicht stimmt oder aber die Packete ungültig oder zu häufig kommen. Was für OSes hast Du denn auf welchen IPs?


Frank
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf

Beitragvon Mike » Mo Dez 30, 2002 17:12

Moin Frank!

Naja, da hatte ich auch schon gesucht, ABER:

Nen echten Hinweis, wie ich rauskriegen kann, WAS diese Einträge verursacht konnte ich da trotz "langjähriger, intensiver Nachforschungen" (*g*) nicht rausfinden...

Aber zumindest weiss ich nu, wie ich die Einträge aus dem Logfile fernhalte, obwohl das sicherlich maximal die zweitbeste Lösung ist...

Mike

================================
emerge -C windows
================================
Benutzeravatar
Mike
Administrator
Administrator
 
Beiträge: 750
Registriert: Do Aug 30, 2001 1:00
Wohnort: In Deutschland ganz oben

Beitragvon Balumir » Mo Dez 30, 2002 18:08

Sind denn die beiden IPs wirklich vergeben? Oder war da eine von ein fake?
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf

Beitragvon steffan » Mo Dez 30, 2002 19:01

Moin!

Hast du einen Hub oder einen nicht wirklich switchenden Switch?

So etwas kann auf einem Broadcast-Medium geschehen - Hier kommt
einfach ein Paket auf einem Interface an, der Kernel meint, es darf
hier nicht auftauchen und meldet es!

Gruss
Steffan
steffan
Aktiv
Aktiv
 
Beiträge: 60
Registriert: Sa Sep 01, 2001 1:00

Beitragvon Mike » Mo Dez 30, 2002 19:03

Moin Frank!

Also: eth0 geht über den Switch ins LAN, eth1/ppp0 direkt Richtung DSL

ips im LAN sind 192.168er - sollten also mit der Meldung "eigentlich" nix zu tun haben, oder?

Mike

================================
emerge -C windows
================================
Benutzeravatar
Mike
Administrator
Administrator
 
Beiträge: 750
Registriert: Do Aug 30, 2001 1:00
Wohnort: In Deutschland ganz oben

Beitragvon daniel » Mo Dez 30, 2002 20:13

Moin Mike

Ich habe diese Meldungen auf meinen Router auch 10.254.0.1 ist
glaube ich der DNS Server der Komtel.

Daniel
Benutzeravatar
daniel
LUG Flensburg
LUG Flensburg
 
Beiträge: 55
Registriert: So Sep 02, 2001 1:00
Wohnort: Flensburg

Beitragvon Balumir » Mo Dez 30, 2002 20:57

Ah. Langsam wird interessant.
10.x.x.x ist kein Komtel DNS. Die Komtel hat nur die
212.7.128.162
212.7.128.165
Wenn Du da also auf dem Netzwerkinterface für die DSL-Verbindung eine 10.x.x.x IP drauf hast, hat Deine SuSi da entweder ein eigenes 10.x.x.x Subnetz verwendet oder es besteht noch die Möglichkeit, daß von außen jemand versucht, Deine Firewall zu killen, indem er Sie mit falschen Absenderadressen vollmüllt. Das ist die Methode, mit der z.B. Yahoo mal in die Knie gezwungen wurde.

Für weitere Test kann ich ngrep empfehlen. Damit kannst Du den gesammten Trafic mitpsehen und nach IPS/Ports/etc filtern. Somit kannst Du die Packete dann sehen, die Du in der Firewall behandelst.

Frank
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf

Beitragvon Mike » Mo Dez 30, 2002 21:45

Yep, dann werd ich mir mal ngrep ansehen!

Thnx,

Mike

================================
emerge -C windows
================================
Benutzeravatar
Mike
Administrator
Administrator
 
Beiträge: 750
Registriert: Do Aug 30, 2001 1:00
Wohnort: In Deutschland ganz oben

Beitragvon daniel » Mo Dez 30, 2002 22:22

Moin

10.154.0.1 ist vieleicht nicht der DNS Server der Komtel
aber er gehört der Komtel.
Versucht mal ein Rechner mit DHCP direct ans DSL MOdem hängen
dann bekommt man von ein IP zugeteilt (ich habe da im Moment 10.254.0.127) und dann die 10.254.0.1 im Browser eingeben
und mann kann dann einige Treiber+Anleitungen von der Komtel
ziehen. (das alles machen ohne PPPoE Treiber) geht unter jeden OS

Daniel
Benutzeravatar
daniel
LUG Flensburg
LUG Flensburg
 
Beiträge: 55
Registriert: So Sep 02, 2001 1:00
Wohnort: Flensburg

Beitragvon Balumir » Mo Dez 30, 2002 22:36

Hm. Was haben die denn da verdreht?
Normalerweise ist 10.x.x.x ein privates Subnet, welches nicht im Internet verwendet werden darf.

Es gäbe da 2 Möglichkeiten, die für mich denkbar wären.

1.) SuSe verwendet ein 10er Netz, um das irgendwie zu routen
1.) Die Komtel benutzt für einige Einwahlverbindungen ein privates Subnet und NATed das.

Oder woher könnte das noch kommen?
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf

Beitragvon daniel » Mo Dez 30, 2002 22:57

Hi

Das mit der 10.x.x.x stimmt schon. Also das Problem ist nicht nur bei Suse
das mit den "Pings" ist auch bei anderen Distributoren.

Ich hatte das mal mit der 10.254.0.1 in der Installations Anleitung von der Komtel gelesen das sie dort die Treiber bereitstellen damit man den Rechner auch einrichten kann wenn man keine Treiber hat.
Der Rechner muß wohl irgentwie falsch konfiguriert sein.

Daniel
Benutzeravatar
daniel
LUG Flensburg
LUG Flensburg
 
Beiträge: 55
Registriert: So Sep 02, 2001 1:00
Wohnort: Flensburg

Beitragvon Balumir » Mo Dez 30, 2002 23:31

Ist das vielleicht der Bereich, indem man ohne die ADSL-Freischaltung surfen kann?
Ich muß dazu sagen, daß ich bisher nie selber ADSL eingerichtet habe (ich warte seid 1/2 Jahr auf den Anschluß). Mein Nachbar hat die Basisfreischaltung mit Winschrott machen müßen, weil er sonst nicht ins Internet kam. Er sagte, das da zuerst nur ein bestimmter Bereich verfügbar war, auf den man automatisch geleitet wurde. Dort mußte man die erste freischaltung vornehmen und dann konnte man surfen.
Die Frage wäre dann nur, warum kommen da jetzt noch immer die Anfragen von der 10er IPs rein?


Auf den Komtel-Seiten ist da leider nichts drüber zu lesen.
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf


Zurück zu Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast