Ich habe einen Linux-Router mit IPTABLES-Skript, der in den Log-Files immer ausgibt:

Jun 16 15:00:53 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=213.196.242.35 DST=213.196.215.30 LEN=40
TOS=0x00 PREC=0x00 TTL=64 ID=99 DF PROTO=TCP SPT=1433 DPT=1900 WINDOW=0 RES=0x00 ACK RST URGP=0
Jun 16 15:00:56 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=213.196.242.35 DST=213.196.215.30 LEN=40
TOS=0x00 PREC=0x00 TTL=64 ID=100 DF PROTO=TCP SPT=1433 DPT=1900 WINDOW=0 RES=0x00 ACK RST URGP=0
und ähnlich sieht das mit dem Source-Port 2394 aus.

Mein Windows2000-Client ist mit einer Kerio Firewall ausgestatt, die diesen Port auch protokolliert und zwar sagt diese mir, dass der IE auf beide Ports möchte.

Beide Ports haben anscheinend nur was mit MS-SQL-Server zu tun:


1433 = Microsoft SQL Server (Quelle: iss.net (http://www.iss.net/security_center/advice/Exploits/Ports/default.htm))



How to enable ports on Windows XP SP2 for Analysis Services and SQL Server 7.0 OLAP Services (Quelle: support.microsoft.com (http://support.microsoft.com/default.aspx?scid=kb;en-us;841549)) zu den Ports 2393, 2394

Ist das mein Client oder kommt die Anfrage aus dem Internet?

Gruß
Claus

Da die Source-IP eine andere ist, kannst du davon ausgehen dass die Anfrage aus dem Internet kommt.

Welche IP ist denn deine?

Auf jedenfall sind es ausgehende Pakete die verworfen werden. Es ist nun an dir rauszufinde wieso diese gesendet werden.

Blockt die Personal Firewall auf dem Windows PC die Verbindungsversuche?

Ich würde an deiner Stelle nun mit tcpdump oder ethereal versuchen herauszubekommen von welchem Client und wohin die Daten genau gesendet werden.
Mit netstat solltest du dann noch herausfinden können von welcher Anwendung genau.

//edit//


Da die Source-IP eine andere ist, kannst du davon ausgehen dass die Anfrage aus dem Internet kommt.

Ich kann deiner Aussage nicht ganz folgen. Kannst du das evtl. noch etwas weiter ausführen? Ich dachte die Anfrage kommt von innen, da in dem Log eine ausgehende Verbindung angezeigt wird.

Gerade mal in den eigenen Router Logs nachgeschaut. Könnte eine "Intruder Versuch" sein.
Bsp:

Src: 10.20.1.254:1203 Dst: 84.171.46.251:1434 {} (UDP)
[...]
matched this filter rule: intruder detection
filter info: packet received from invalid interface 1UND1 instead of LAN

Ich kann deiner Aussage nicht ganz folgen. Kannst du das evtl. noch etwas weiter ausführen? Ich dachte die Anfrage kommt von innen, da in dem Log eine ausgehende Verbindung angezeigt wird.

Oh, ich hatte gelesen "IN=ppp0". So ist das natürlich falsch. Danke für den Hinweis :)

Danke für Eure Antworten.

Ich kann die Verbindungen heute nicht mehr reproduzieren. Ich melde mich die Tage noch mal. Mein "nestat" gibt immer nur so etwas aus:


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP cvb:1044 lamp:22 HERGESTELLT
TCP cvb:1039 cvb:18350 HERGESTELLT
TCP cvb:1322 cvb:1323 HERGESTELLT
TCP cvb:1323 cvb:1322 HERGESTELLT
TCP cvb:18350 cvb:1039 HERGESTELLT

Da bin ich etwas verwirrt, wie ich an das Programm kommen soll.

[Edit um 20:45] Hier konnte ich es jetzt doch reproduzieren:


Aug 7 20:19:32 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=81.173.224.161
DST=81.173.178.205 LEN=40 TOS=0x00 PREC=0x00 TTL=64
ID=445 DF PROTO=TCP SPT=1433 DPT=1396 WINDOW=0
RES=0x00 ACK RST URGP=0
Aug 7 20:19:35 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=81.173.224.161
DST=81.173.178.205 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=446 DF PROTO=TCP
SPT=1433 DPT=1396 WINDOW=0 RES=0x00 ACK RST URGP=0

Dieses "ACK RST URGP=0" bedeutet doch irgendetwas besonderes, oder? Es ist irgendein ein Antwort-Paket ...

Danke und Gruß
Claus

Ich habe einen Linux-Router mit IPTABLES-Skript, der in den Log-Files immer ausgibt:

Jun 16 15:00:53 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=213.196.242.35 DST=213.196.215.30 LEN=40
TOS=0x00 PREC=0x00 TTL=64 ID=99 DF PROTO=TCP SPT=1433 DPT=1900 WINDOW=0 RES=0x00 ACK RST URGP=0
Jun 16 15:00:56 lamp kernel: --gedroppt--IN= OUT=ppp0 SRC=213.196.242.35 DST=213.196.215.30 LEN=40
TOS=0x00 PREC=0x00 TTL=64 ID=100 DF PROTO=TCP SPT=1433 DPT=1900 WINDOW=0 RES=0x00 ACK RST URGP=0

Deine Regeln für OUTPUT würden mich interessieren, denn es erscheint mir ungewöhnlich, daß diese Pak[!]ete im OUTPUT auf ppp0 gedroppt werden.
Fangen wir bei den IP-Adressen an:


Name: xdsl-213-196-215-30.netcologne.de
Address: 213.196.215.30

Name: xdsl-213-196-242-35.netcologne.de
Address: 213.196.242.35

Dynamische DSL-Einwahl

Zu Port 1900


Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerkprotokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient. SSDP nutzt normalerweise den Port 1900 (TCP und UDP) (siehe offizielle Portliste der IANA).

Die Firma Microsoft hat es zusammen mit ihrem Betriebssystem Microsoft Windows ME eingeführt.

siehe Wikipedia (http://de.wikipedia.org/wiki/SSDP)

Und damit Du die offenen Ports auf Deinen Windows-Rechnern nachvollziehen / zuordnen kannst, gibt es ein Tool namens aports / aktivports (http://www.protect-me.com/freeware.html)

Du kannst auch Dein Glück mit tcpdump und ethereal versuchen.

cu/2 iae

Deine Regeln für OUTPUT würden mich interessieren, denn es erscheint mir ungewöhnlich, daß diese Pak[!]ete im OUTPUT auf ppp0 gedroppt werden.
Sorry, dass ich mich so spät melde, ich habe meinen Router nur einmal die Woche an und war letzte Woche auch viel bei meiner Freundin.

Ich habe mal mein FW-Skript hochgeladen. (http://doku.clausvb.de/FW_start.sh.txt) Ich will direkt dazusagen, dass ich mein Skript anhand von vielen einzelnen Beispielen zusammengebastelt habe.

Du redest in Deinem Beitrag von Port 1900. Dieser Port taucht bei mir gar nicht auf ...

Die Bereiche
"## IN ppp0 => Port 135, 445 aus dem Internet droppen"
sind nur dazu da, damit sie in den Log-Files nicht auftauchen. Man könnte sie auch weglassen, aber dann bekomme ich alle 3 Sekunden einen Eintrag mit 135 oder 445. Das will ich nicht, deswegen lasse ich die Sachen direkt droppen.

Gruß und Danke
Claus