/var/log/firewall: was bedeuten die meldungen??
 

hallo leute!

ich hab, sobald ich online bin, meldungen wie die unten zu hauf in meinen log-files.

meine frage: was bedeuten die einzelnen punkte, bzw muss ich mir sorgen um die sicherheit meines systems machen?(va. SRC=ip und "martian source" beunruhigen mich :=) )

vielen dank im vorhinein,

lg Krtek

/var/log/firewall:

Jan 21 21:21:55 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=12559 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:56 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=22543 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:57 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=27663 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:58 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=37391 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:26:39 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0
Jan 21 21:26:39 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06
Jan 21 21:27:43 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0
Jan 21 21:27:43 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06
Jan 21 21:29:08 linux kernel: martian source 169.254.72.6 from 192.168.0.1, on dev eth0
Jan 21 21:29:08 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06

Er loggt die Verbindungen mit.
Harmlos :)

Sloter

für die sperregeln solltest du das logging aktivieren, aber für die passierenden nicht. dann wird dein log nicht zugemüllt

viele ips
 

hi!

ich hab vielleicht ein nicht repräsentatives stück gepastet. da sind als source die verschiedensten ips dabei.
wenn das alles verbindungen sind, wer versucht sich da mit mir zu verbinden?

kann es sein, dass das code red oä. ist?

thx, Krtek

Re: viele ips
 

Code Red, der Killer aller Unix Systeme :mad:
nehmt euch in acht, er ist wieder im Land !:ms:

Oder hab ich da jetzt irgendwie was verwechselt ? :confused: ;)

Hi @all!

@krtek

Die Logs mit SRC=ip sind ganz normal, denn es schwirrt ja genug Müll im Netz herum :).

Zu den Martian Source logs:
Die sind komplett harmlos. Er loggt nur mit, was eigentlich nicht sein kann (am WAN-Interface kann niemals eine private IP hereinwollen).
Dazu wäre Deine Lan-Konstellation interessant zu kennen.
Betreibst Du den Linuxrechner als Router (Gateway) und hast vielleicht für WAN und LAN nur eine NIC im Betrieb?
Wenn ich so ins Blaue tippe könnte eine Trennung der Netze Abhilfe schaffen.


Grüße

Manx

danke, bin mal beruhigt!
 

hi!

ja richtig, ich verwende den rechner als gateway fuer meinen laptop, die meldungen hab ich aber auch wenn ich den laptop garnicht angesteckt hab, und mit dem server online bin.

gibts eine gute anleitung irgendwo, wie man diese logs analysieren kann?

thx, Krtek

Hi!

ad Analyse:

1.) solltest Du verstehen was iptables macht und wie es funktioniert.
Es sollten genügend Infos im google zu finden sein.
z.B. http://www.google.com/search?hl=de&q=iptables+howto&lr=

2.) die Kenntnisse punkto Netzwerktechnik werdem beim studieren der Infos auch aufgebessert.

3.) Nun sollten die Logfiles schon verständlicher werden.

HTH

Manx