PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Unklarheit in IP Tables Log Output



Dellerium
20.10.03, 15:09
Hi :)

Ich schreib grad ein Programm, das aus den Logfiles die Eintraege von IP Tables auswerten soll ....

Ich weiss das es woas schon gibt, allerdings genügt das nicht dne Ansprüchen, die ich an ein solches Programm hab ...

Ich hab also angefangen ein entsprechendes Programm zu schreiben. Dabei ist mir aufgefallen, das einige Einträge in Eckigen Klammern weitere Datne enthalten. Was mich nun interessieren würde, ist was die Daten in den Klammern zu bedeuten haben ?

gruss Andre

HangLoose
20.10.03, 15:13
wie wär's mit nem beispiel.


Gruß HL

Dellerium
20.10.03, 15:33
Jupp klar :)

Das wäre z.B. ein solcher Eintrag:

Oct 15 12:25:51 fw kernel: INVALID output: IN= OUT=eth1 SRC=128.200.0.1 DST=128.200.104.4 LEN=120 TOS=0x00 PREC=0xC0 TTL=64 ID=2786 PROTO=ICMP TYPE=11 CODE=0 [SRC=128.200.104.4 DST=62.153.211.165 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=4350 PROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=7936 ]

Was mich nun interessiert, ist was das zwischen den Eckigen Klammern zu bedeuten hat .. der Rest ist klar :)

gruss Andre

HangLoose
20.10.03, 15:51
hm, gute frage. die 128.200.0.1 und 128.200.104.4 sind rechner aus deinem lan, oder?

Dellerium
20.10.03, 15:56
jupp...

ich weiss, dass das öffentliche Adressen sind, aber wir haben noch nen alten Mainframe im Netz hängen, der nur mit diesen Adressen umgehen kann. Ausserdem ist es egal, das ich dann ne Uni in dne Staatne net erreichen kann ;)

Das Log File ist ohnehin nur exemplarisch - die IP's sind beliebig austauschbar. Ich hab's nur genommen, weil ich das am schnelsstne an der Hand hatte ;)

gruss Andre

HangLoose
20.10.03, 16:04
hi

ich bin mir nicht ganz sicher. aber für mich sieht das so aus, als wenn die kiste mit der ip 128.200.104.4 einen ping (icmp typ 8) an den rechner 62.153.211.165 geschickt hat, das wäre der teil in eckigen klammern.

da der rechner 62.153.211.165 nicht geanwortet hat, schickt dein router (128.200.0.1) eine Time Exeeded (icmp typ 11) nachricht an den client (128.200.104.4). das wäre der erste teil der nachricht.



Gruß HL

HangLoose
20.10.03, 16:37
Original geschrieben von Dellerium
jupp...

ich weiss, dass das öffentliche Adressen sind, aber wir haben noch nen alten Mainframe im Netz hängen, der nur mit diesen Adressen umgehen kann. Ausserdem ist es egal, das ich dann ne Uni in dne Staatne net erreichen kann ;)

Das Log File ist ohnehin nur exemplarisch - die IP's sind beliebig austauschbar. Ich hab's nur genommen, weil ich das am schnelsstne an der Hand hatte ;)

gruss Andre

wenn du spoofing schutz *eingeschaltet* hast, kann es natürlich gut sein das dein paketfilter rumbellt. ein paket mit einer öffentlichen ip als absender, kann normalerweise ja auch nicht aus dem lan kommen.


Gruß HL