iptables Frage [Archiv] - linuxforen.de -- User helfen Usern

DarkSorcerer

23.10.03, 21:17

Hi zusammen,

ich habe ein wenig meine iptables log beobachtet...

Hier mal ein Ausschnitt aus der messages:

tail -f /var/log/messages

Oct 23 22:01:26 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.131.252.26 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=31506 DF PROTO=TCP SPT=2047 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:01:27 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.131.252.26 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=31560 DF PROTO=TCP SPT=2047 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:01:28 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.131.252.26 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=31600 DF PROTO=TCP SPT=2047 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:01:40 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.130.129.134 DST=80.132.55.152 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=63066 DF PROTO=TCP SPT=1922 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Oct 23 22:03:22 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=200.78.85.169 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=113 ID=38524 PROTO=UDP SPT=1029 DPT=137 LEN=58
Oct 23 22:05:57 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=81.9.131.22 DST=80.132.55.152 LEN=537 TOS=0x00 PREC=0x00 TTL=120 ID=64946 PROTO=UDP SPT=8188 DPT=16167 LEN=517
Oct 23 22:06:06 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.132.61.169 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=6320 DF PROTO=TCP SPT=2980 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:06:06 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.132.61.169 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=6335 DF PROTO=TCP SPT=2980 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:06:07 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.132.61.169 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=6346 DF PROTO=TCP SPT=2980 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:07:56 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=200.84.117.36 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=36683 PROTO=UDP SPT=1046 DPT=137 LEN=58
Oct 23 22:07:56 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=200.84.117.36 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=36683 PROTO=UDP SPT=1046 DPT=137 LEN=58Oct 23 22:08:55 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=218.242.106.157 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=108 ID=39088 PROTO=UDP SPT=1028 DPT=137 LEN=58
Oct 23 22:09:24 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=217.132.155.131 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=22017 PROTO=UDP SPT=1026 DPT=137 LEN=58
Oct 23 22:12:35 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.131.38.237 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=45465 DF PROTO=TCP SPT=2173 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:13:44 debian kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.131.38.237 DST=80.132.55.152 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=54949 DF PROTO=TCP SPT=4995 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0
Oct 23 22:15:30 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=67.68.172.127 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=114 ID=60467 PROTO=UDP SPT=64157 DPT=137 LEN=58
Oct 23 22:15:46 debian kernel: REJECT UDP IN=ppp0 OUT= MAC= SRC=195.174.192.77 DST=80.132.55.152 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=63483 PROTO=UDP SPT=1124 DPT=137 LEN=58

Immer dieses reject udp. Kann mir einer sagen was das bedeutet oder ob das so normal ist?

Danke!

Thomas Engelke

23.10.03, 21:42

Schau doch mal in /etc/services, was so auf 135/TCP und 137/UDP herumfliegt. Oder ist es wohlmöglich doch bloß eine alte EDonkey-Teilnehmer-IP oder etwas in der Art?

AD!

DarkSorcerer

23.10.03, 21:45

137/udp ist netbios-ns

135/tcp is da gar net...

Jinto

23.10.03, 21:51

135 ist rpc

Chaosfreak

23.10.03, 21:52

Sieht bei mir auch so ähnlich aus.

Die Pakete auf Port 135 dürften wohl die letzen Überbleibsel
von Lovesan sein ;)

DarkSorcerer

24.10.03, 07:21

Ah ok, also bedeutet das, dass diese Pakete auf Port 135 z.B. alle geblockt werden, da Headerinformationen der Pakete verfälscht sind?

Temp

24.10.03, 08:15

du müsstest glaub irgentwo ne log Regel haben die einfach alles auf port 135 z.B. loggt. bzw. nen zugriff darauf loggt.
Is ja nix schlimmes ;)

Gruß Temp

Jinto

24.10.03, 12:29

Original geschrieben von DarkSorcerer
Ah ok, also bedeutet das, dass diese Pakete auf Port 135 z.B. alle geblockt werden, da Headerinformationen der Pakete verfälscht sind? Hat hier im Thread irgendjemand etwas von gefälschten Paketen gesagt?

DarkSorcerer

24.10.03, 15:53

Der Satz endet mit einem Fragezeichen...
Das war keine Aussage sondern eine Frage :)