Hallo,

ich benutze SuSe 8.1 mit der mitgelieferten Firewall.
Wenn ich mir unter F10 das Log anschaue kommt immer folgende Meldung :

Dec 21 15:40:16 server kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1579 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 21 15:40:18 server kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1580 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 21 15:40:19 server kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1581 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 21 15:40:20 server kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1582 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 21 15:40:21 server kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=1583 DF PROTO=UDP SPT=138 DPT=138 LEN=191

weiß einer mit diesem Ausdruck etwas anzufangen ? Ist die Firewall falsch konfiguriert ?

Bitte um Antworten / Hilfen


Blacky

PS: Wünsche euch allen einen schönen vierten Advent

hallo!

nein, das ist kein fehler.
das ist nur ein logeintrag, für eine bestimmte regel...

//richard

also ist das normal ?

oder sollte man die regel abändern ? Oder einfach den LOG Eintrag untersrücken ?

Gruß Blacky

Normal ist das nicht. Es bedeutet, dass auf einem Netzwerkinterface ein Paket mit einer Adresse aus einem anderen Netzbereich gefunden wurde. Interessant wäre an der Stelle die gewünschte Konfig. und deine tatsächliche...

Wenn du dir sicher bist, alles richtig gemacht zu haben, kann es sich dabei auch um eine Spoofing-Attacke handeln - ein durchaus denkbares Angriffsmittel...

Gruß
Martin

Original geschrieben von hmflesch
Wenn du dir sicher bist, alles richtig gemacht zu haben, kann es sich dabei auch um eine Spoofing-Attacke handeln - ein durchaus denkbares Angriffsmittel...

hallo!

nein, das is ja nur ein broadcast von so einer doofen win-box.
siehe ziel-ip und ziel-port...

//richard

.... stimmt - hatte nur die IP angesehen...

sorry

Martin

Hmm also was soll ich tun ? Mioch stört dieser Eintrag, ich poste mal meine Konfig :

--------------------------------
FW_QUICKMODE="no"

FW_DEV_EXT="ppp0"

FW_DEV_INT="eth1"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"

FW_PROTECT_FROM_INTERNAL="no"

FW_AUTOPROTECT_SERVICES="yes"

FW_SERVICES_EXT_TCP="ftp https ssh"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="137 139"
FW_SERVICES_INT_UDP="137 139"
FW_SERVICES_INT_IP=""

FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""

FW_TRUSTED_NETS=""

FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns"

FW_SERVICE_AUTODETECT="no"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"

FW_FORWARD=""

FW_FORWARD_MASQ=""

FW_REDIRECT=""

FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"

FW_KERNEL_SECURITY="yes"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

--------------------