log einträge in der firewall?

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

log einträge in der firewall?

Beitragvon bruno ristl » Sa 05 Okt, 2002 07:38

Hallo!
Kann mir jemand bitte erklären was diese Einträge im log der firewall bedeuten? Wie interpretiere ich sowas? Was kann ich da herauslesen?

Oct 5 06:05:09 linux kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ppp0 OUT= MAC= SRC=172.19.89.116 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=54797 OPT (94040000) PROTO=2
Oct 5 06:06:09 linux kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ppp0 OUT= MAC= SRC=172.19.89.116 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=55240 OPT (94040000) PROTO=2
Oct 5 06:06:44 linux kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=66.43.226.63 DST=62.47.61.251 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=13481 DF PROTO=TCP SPT=2477 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Oct 5 06:06:47 linux kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=66.43.226.63 DST=62.47.61.251 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=18857 DF PROTO=TCP SPT=2477 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Oct 5 06:06:53 linux kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=66.43.226.63 DST=62.47.61.251 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=31913 DF PROTO=TCP SPT=2477 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Oct 5 06:07:05 linux kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=66.43.226.63 DST=62.47.61.251 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=56489 DF PROTO=TCP SPT=2477 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Oct 5 06:07:10 linux kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ppp0 OUT= MAC= SRC=172.19.89.116 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=55699 OPT (94040000) PROTO=2
Oct 5 06:07:26 linux kernel: martian source 192.168.255.255 from 192.168.1.100, on dev eth0
Oct 5 06:07:26 linux kernel: ll header: ff:ff:ff:ff:ff:ff:48:54:e8:2b:be:12:08:00

Danke
bruno ristl
 

RE: log einträge in der firewall?

Beitragvon Gerhard » Sa 05 Okt, 2002 16:50

Ich kenne mich zwar nicht mit der SuSE-Firewall aus, aber ich versuche einmal, die Einträge zu interpretieren (da sich sonst scheinbar keiner meldet):

SuSE-FW-DROP:
Vermutlich wurde das Datenpaket stillschweigend geschluckt (ohne eine Fehlermeldung an den Sender zu schicken).

SuSE-FW-UNAUTHORIZED-TARGET:
Keine Ahnung, was die Firewall da gemacht hat! (möglicherweise blockieren mit Fehlermeldung an den Sender? Näheres sollte in der Anleitung der SuSE-Firewall zu finden sein!)

IN=...:
Von diesem Interface kam das Datenpaket (ppp0 = Modem; eth0 = lokales Netz (in deinem Fall))

OUT=...:
An dieses Interface würde das Datenpaket geschickt werden (ein leeres Feld bedeutet vermutlich, daß es an eben diesen Rechner adressiert war).

MAC=...:
Würde die Hardware-Adresse der Netzwerkkarte enthalten

SRC=...:
Die Quelladresse des Datenpakets

DST=...:
Die Zieladresse des Datenpakets (eine 224.x.x.x Adresse ist eine Multicast-Adresse (mehr dazu unter http://www.tldp.org/HOWTO/Multicast-HOWTO-2.html)

Die folgenden Felder beschreiben Eigenschaften des Datenpakets (nähere Informationen dazu findest du in jeder besseren Beschreibung der TCP/IP-Protokolle, aber das meiste ist für dich uninteressant):
LEN=...: Größe des Datenpakets
TOS=...: Type Of Service
PREC=...: ???
TTL=...: Time To Live
ID=...: ???
OPT (...): Vermutlich das Option-Feld
PROTO=...: Der Protokolltyp (TCP ist selbsterklärend; eine 2 bedeutet IGMP (Internet Group Multicast Protocol))
DF: ???
SPT=...: Der Quellport
DPT=...: Der Zielport (139 = Netbios Session Service)

Dann gibt es noch folgende Felder für TCP-Datenpakete:
WINDOW, RES, SYN, URGP und nochmals OPT


Und was bedeuten nun deine Logfileeinträge?

Bei Zeile 1, 2 und 7 versuchte ein Rechner mit Adresse 172.19.89.116 festzustellen, ob dein Rechner für Multicasting geeignet ist.

Bei Zeile 3-6 versuchte jemand eine Verbindung zum "Netbios Session Service" deines Rechners aufzubauen, hatte aber in zweierlei Hinsicht wenig Glück:
1) Deine Firewall hat den Zugriff geblockt
2) Dein Rechner ist kein Windows-Rechner und hat daher vermutlich auch kein Netbios installiert (oder verwendest du Samba?)

In Zeile 8 beschwert sich die Firewall über eine unübliche Quelladresse (ungültig?) eines Datenpakets, welches über das lokale Netz hereinkam.

Zeile 9 sagt mir überhaupt nichts!

Schöne Grüße,
Gerhard
Gerhard
 


Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste