Archiv verlassen und diese Seite im Standarddesign anzeigen : Port 80 plötzlich geblockt
killerhorse
29.08.05, 01:32
Hallo,
Ich habe seit einiger Zeit eine Firewall die ich mit fwbuilder erstellt habe. Bei den erlaubten Diensten ist unter anderem http dabei sowohl eingehen als auch ausgehend.
Heute wurde port 80 plötzlich geblockt. Exakt 10x davor ist das noch nie der Fall gewesen und danach auch nichtmehr. Die entspr. Logzeilen sehen so aus:
Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0
Seht Ihr an der Zeile irgendetwas ungewöhnliches?
MfG
Christian
Für mich ist ungewöhnlich, dass die MAC-Adresse aufscheint (ist die nicht ein bissi lang?). Sollte übers Internet doch nicht sein, oder?
killerhorse
29.08.05, 02:48
Das passt schon so, sind insgesammt 28 Stellen (14 bytes):
6 bytes destination addr
6 bytes source addr
2 bytes type (0x0800 = IP datagram)
MfG
Christian
killerhorse
29.08.05, 11:47
Ich versteh es nicht, heute ist anscheinend Port 25 dran :confused: :
Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0
MfG
Chrsitian
Dir ist aber aufgefallen, daß bei OUT= nichts drinnen steht? Die Pakete gehen an die FW und ich denke nicht, daß Du Web- oder Mail-Dienste auf der FW anbietest, oder etwa doch?
killerhorse
29.08.05, 12:40
Wie gesagt, TCP Port 80 ist in beide Richtungen erlaubt, der Grund ist natürlich der, dass auf port 80 ein Dienst (Webserver) angeboten wird.
MfG
CHristian
ok, ich habe irrtümlicherweise angenommen, daß es eine reine FW ist. Was steht denn genau in "RULE 4" drinnen?
Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0
Hab den TCP/IP Handshake grad nicht im Kopf, ich vermute aber mal das es sich um ein korruptes Paket handelt da ACK und FIN gesetzt sind...
Hier finde ich ein solches Paket auch nicht: http://www.vs.inf.ethz.ch/edu/WS0102/VS/TCP-State-Diagram.html
Also funktioniertdeine Firewall vermutlich korrekt da sie Pakete verwirft die es so gar nicht geben kann...
mfg
cane
Das hört sich so an, als hättest Du ein IDS laufen, was Dir bei "merkwürdigen" Paketen die Ports (für eine gewisse Zeit) automatisch sperrt. Hast Du das mal geprüft?
@Cane: ACK/FIN ist völlig korrekt beim 3Wege-Handshake zur Beendigung einer TCP-Verbindung (Ende-Anforderung: ACK/FIN, Antwort1: ACK/FIN, Antwort2: ACK - und Ende).
Genauso gut könnte es auch sein, dass jemand ein gefaktes ACK/FIN (ohne vorherige Session) gesendet hat und das IDS zugeschlagen hat.
Harry
@Cane: ACK/FIN ist völlig korrekt beim 3Wege-Handshake zur Beendigung einer TCP-Verbindung (Ende-Anforderung: ACK/FIN, Antwort1: ACK/FIN, Antwort2: FIN - und Ende).
Sorry Harry, muss ich wohl überlesen haben :rolleyes:
Zum Glück sehen vie(le|r) Augen mehr als zwei...
mfg
cane
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.