Ich finde immer wieder (so an die 100 am Tag) Einträge wie

linux kernel: SFW2-INext-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=194.106.170.177 DST=meineIP LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=36070 DF PROTO=TCP SPT=3357 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)

linux kernel: SFW2-INext-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=24.116.146.20 DST=meineIP LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=46132 DF PROTO=TCP SPT=61354 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)

in meinem Log.

Leider bin ich nicht in der Lage diese Meldungen wirklich zu verstehen. Habe viel zu SWF gesucht, aber immer nur sehr problemspezifische Einträge gefunden, keine allgemeine Erklärung zu diesen Firewall Log Einträgen.

Kann mir bitte wer sagen, wo ich nachlesen kann, wie die Meldungen zu interpretieren sind?

Danke,

Gert

die wichtigsten:

- IN=ppp0 : das Input-Interface

- SRC : die Quell-IP-Adresse

- DST : die Ziel-IP-Adresse

- PROTO=TCP : das Protokoll

- SPT : Quell-Port

- DPT : Ziel-Port

hallo!

viel spaß beim lesen:
http://logi.cc/linux/netfilter-log-format.php3

//richard

Noch zur Erklärung:

Die Ports auf die versucht wird zuzugreifen sind die Ports der Windows Dateifreigabe/Samba. So was kommt eigentlich recht häufig vor, es wird halt nach 'Opfern' gescannt auf die zugegriffen werden kann.

Wenn's dich stört kannst ja die Ports 137-139 und 445 vom Log ausschließen.

Danke für Eure Erklärungen.
Der logi.cc Link ist super, da steht sehr umfassend alles erklärt. Noch besser das Analyzer Tool :) !!

Gert