/var/log/firewall: was bedeuten die meldungen??

krtek · 21.01.2002, 22:40

hallo leute!

ich hab, sobald ich online bin, meldungen wie die unten zu hauf in meinen log-files.

meine frage: was bedeuten die einzelnen punkte, bzw muss ich mir sorgen um die sicherheit meines systems machen?(va. SRC=ip und "martian source" beunruhigen mich :=) )

vielen dank im vorhinein,

lg Krtek

/var/log/firewall:

Jan 21 21:21:55 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=12559 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:56 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=22543 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:57 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=27663 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:21:58 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=37391 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0
Jan 21 21:26:39 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0
Jan 21 21:26:39 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06
Jan 21 21:27:43 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0
Jan 21 21:27:43 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06
Jan 21 21:29:08 linux kernel: martian source 169.254.72.6 from 192.168.0.1, on dev eth0
Jan 21 21:29:08 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06

Sloter · 22.01.2002, 08:18

Er loggt die Verbindungen mit.
Harmlos

Sloter

Morgul · 22.01.2002, 09:39

für die sperregeln solltest du das logging aktivieren, aber für die passierenden nicht. dann wird dein log nicht zugemüllt

krtek · 23.01.2002, 23:46

hi!

ich hab vielleicht ein nicht repräsentatives stück gepastet. da sind als source die verschiedensten ips dabei.
wenn das alles verbindungen sind, wer versucht sich da mit mir zu verbinden?

kann es sein, dass das code red oä. ist?

thx, Krtek

allwissende Müllhalde · 24.01.2002, 05:14

Zitat:

Original geschrieben von krtek
kann es sein, dass das code red oä. ist?
thx, Krtek

Code Red, der Killer aller Unix Systeme

nehmt euch in acht, er ist wieder im Land !

Oder hab ich da jetzt irgendwie was verwechselt ?

MANX · 24.01.2002, 10:58

Hi @all!

@krtek

Die Logs mit SRC=ip sind ganz normal, denn es schwirrt ja genug Müll im Netz herum

.

Zu den Martian Source logs:
Die sind komplett harmlos. Er loggt nur mit, was eigentlich nicht sein kann (am WAN-Interface kann niemals eine private IP hereinwollen).
Dazu wäre Deine Lan-Konstellation interessant zu kennen.
Betreibst Du den Linuxrechner als Router (Gateway) und hast vielleicht für WAN und LAN nur eine NIC im Betrieb?
Wenn ich so ins Blaue tippe könnte eine Trennung der Netze Abhilfe schaffen.

Grüße

Manx

krtek · 01.02.2002, 14:07

hi!

ja richtig, ich verwende den rechner als gateway fuer meinen laptop, die meldungen hab ich aber auch wenn ich den laptop garnicht angesteckt hab, und mit dem server online bin.

gibts eine gute anleitung irgendwo, wie man diese logs analysieren kann?

thx, Krtek

MANX · 01.02.2002, 20:14

Hi!

ad Analyse:

1.) solltest Du verstehen was iptables macht und wie es funktioniert.
Es sollten genügend Infos im google zu finden sein.
z.B. http://www.google.com/search?hl=de&q=iptables+howto&lr=

2.) die Kenntnisse punkto Netzwerktechnik werdem beim studieren der Infos auch aufgebessert.

3.) Nun sollten die Logfiles schon verständlicher werden.

Code:

Jan 21 21:21:55 - Datum :) 
IN=eth0 - das Paket kam beim eth0 Interface herein
MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 - MAC-Adresse des Senders
SRC=205.138.20.247 - Source-IP des Senders
DST=62.178.93.187 - Destination-IP == Empfänger
LEN=48 - Länge des Paketes in Byte 
TOS=0x00 - Type of Service Feld 
PREC=0x00 - :confused: 
TTL=110 - Time to live
ID=12559 - Identification Feld des IP-Headers 
PROTO=TCP - Protokoll (TCP) 
SPT=1250 - Source Port 
DPT=5634 - Destination Port
WINDOW=4288 - Window Size
RES=0x00 - zeigt die resevierten Flags an
SYN - SYN-Flag gesetzt (Verbindungsaufbau) 
URGP=0 URGP-Flag nicht gesetzt

HTH

Manx

21.01.2002, 22:40	#1
krtek Newbie Registriert seit: 06.01.2002 Beiträge: 3	/var/log/firewall: was bedeuten die meldungen?? hallo leute! ich hab, sobald ich online bin, meldungen wie die unten zu hauf in meinen log-files. meine frage: was bedeuten die einzelnen punkte, bzw muss ich mir sorgen um die sicherheit meines systems machen?(va. SRC=ip und "martian source" beunruhigen mich :=) ) vielen dank im vorhinein, lg Krtek /var/log/firewall: Jan 21 21:21:55 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=12559 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0 Jan 21 21:21:56 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=22543 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0 Jan 21 21:21:57 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=27663 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0 Jan 21 21:21:58 linux kernel: IN=eth0 OUT= MAC=00:a0:22:c2:0e:84:00:b0:8e:cf:40:54:08:00 SRC=205.138.20.247 DST=62.178.93.187 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=37391 DF PROTO=TCP SPT=1250 DPT=5634 WINDOW=4288 RES=0x00 SYN URGP=0 Jan 21 21:26:39 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0 Jan 21 21:26:39 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06 Jan 21 21:27:43 linux kernel: martian source 192.168.0.1 from 192.168.0.1, on dev eth0 Jan 21 21:27:43 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06 Jan 21 21:29:08 linux kernel: martian source 169.254.72.6 from 192.168.0.1, on dev eth0 Jan 21 21:29:08 linux kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:b6:31:f3:08:06

22.01.2002, 09:39	#3
Morgul Master Registriert seit: 26.09.2001 Alter: 46 Beiträge: 513	für die sperregeln solltest du das logging aktivieren, aber für die passierenden nicht. dann wird dein log nicht zugemüllt ____________________________________ ciao morgul -------------------------------------- mach\'s besser, aber nicht zu oft!

23.01.2002, 23:46	#4
krtek Newbie Registriert seit: 06.01.2002 Beiträge: 3	viele ips hi! ich hab vielleicht ein nicht repräsentatives stück gepastet. da sind als source die verschiedensten ips dabei. wenn das alles verbindungen sind, wer versucht sich da mit mir zu verbinden? kann es sein, dass das code red oä. ist? thx, Krtek

01.02.2002, 14:07	#7
krtek Newbie Registriert seit: 06.01.2002 Beiträge: 3	danke, bin mal beruhigt! hi! ja richtig, ich verwende den rechner als gateway fuer meinen laptop, die meldungen hab ich aber auch wenn ich den laptop garnicht angesteckt hab, und mit dem server online bin. gibts eine gute anleitung irgendwo, wie man diese logs analysieren kann? thx, Krtek

22.01.2002, 08:18	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Er loggt die Verbindungen mit. Harmlos Sloter

24.01.2002, 10:58	#6
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi @all! @krtek Die Logs mit SRC=ip sind ganz normal, denn es schwirrt ja genug Müll im Netz herum . Zu den Martian Source logs: Die sind komplett harmlos. Er loggt nur mit, was eigentlich nicht sein kann (am WAN-Interface kann niemals eine private IP hereinwollen). Dazu wäre Deine Lan-Konstellation interessant zu kennen. Betreibst Du den Linuxrechner als Router (Gateway) und hast vielleicht für WAN und LAN nur eine NIC im Betrieb? Wenn ich so ins Blaue tippe könnte eine Trennung der Netze Abhilfe schaffen. Grüße Manx

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)