PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : suse firewall



YoZ
12.06.04, 01:33
hallo leute,

hätte mal ne frage.. was heißt das hier genau:

Jun 12 00:08:37 matrix kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=66.15.95.20 DST=62.99.165.* LEN=60 TOS=0x10 PREC=0x00 TTL=45 ID=312 DF PROTO=TCP SPT=2269 DPT=22 WINDOW=32120 RES=0x00 SYN URGP=0 OPT (020405B40402080A010CF98A0000000001030300)

dass die tcp-verbindung der source ip am ssh port akzeptiert wurde? ich habe mich über ssh 100 % nicht von dieser ip eingelogt.. heißt das, dass jemand auf meinen server konnte über ssh?

gruß, yoz

klemens
12.06.04, 01:41
hallo leute,

hätte mal ne frage.. was heißt das hier genau:

Jun 12 00:08:37 matrix kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=66.15.95.20 DST=62.99.165.* LEN=60 TOS=0x10 PREC=0x00 TTL=45 ID=312 DF PROTO=TCP SPT=2269 DPT=22 WINDOW=32120 RES=0x00 SYN URGP=0 OPT (020405B40402080A010CF98A0000000001030300)

dass die tcp-verbindung der source ip am ssh port akzeptiert wurde? ich habe mich über ssh 100 % nicht von dieser ip eingelogt.. heißt das, dass jemand auf meinen server konnte über ssh?

gruß, yoz

Nein, nicht dass er reingekommen ist, allerdings, dass er es versucht hat, bzw zumindest eine ssh-Verbindung begonnen hat. - Heisst ja noch nicht, dass er auch ein login veranstaltet hat

YoZ
12.06.04, 01:44
ok das meinte ich auch. das accept hat mich verwirrt... jetzt wo es mir noch durch den kopf geht.. ist ja klar dass die verbindung akzeptiert wurde da ssh (so ist es eingestellt) auf alle ip's hört, dass heißt das iptables eine verbindung zu allen sources erlaubt daher auch accept.

danke dir... gruß, yoz

_ulf
12.06.04, 02:14
Hi,

das bedeutet lediglich das ein TCP packet von 66.15.95.20 (wenn die nicht gespoofed ist, aber das fuehrt hier zu weit) auf deine ip 66.15.95.20.*
port 22 geschickt wurde. das kann man z.B. auch so erreichen:

http://66.15.95.20.*:22
telnet 66.15.95.20.* 22
nmap -p 22 66.15.95.20.*
irssi -c 66.15.95.20.* -p 22
.
.
.

ich will damit nur sagen das es nicht mal im entferntesten was mit
ssh zu tun haben muss.

gruss ulf

YoZ
12.06.04, 12:48
ok das hat mir weiter geholfen.. was ip spoofing ist weiß ich :ugly:

gruß, yoz