PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Port 80 plötzlich geblockt



killerhorse
29.08.05, 01:32
Hallo,

Ich habe seit einiger Zeit eine Firewall die ich mit fwbuilder erstellt habe. Bei den erlaubten Diensten ist unter anderem http dabei sowohl eingehen als auch ausgehend.

Heute wurde port 80 plötzlich geblockt. Exakt 10x davor ist das noch nie der Fall gewesen und danach auch nichtmehr. Die entspr. Logzeilen sehen so aus:

Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0

Seht Ihr an der Zeile irgendetwas ungewöhnliches?

MfG

Christian

klemens
29.08.05, 01:39
Für mich ist ungewöhnlich, dass die MAC-Adresse aufscheint (ist die nicht ein bissi lang?). Sollte übers Internet doch nicht sein, oder?

killerhorse
29.08.05, 02:48
Das passt schon so, sind insgesammt 28 Stellen (14 bytes):

6 bytes destination addr
6 bytes source addr
2 bytes type (0x0800 = IP datagram)

MfG

Christian

killerhorse
29.08.05, 11:47
Ich versteh es nicht, heute ist anscheinend Port 25 dran :confused: :

Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0

MfG

Chrsitian

mkahle
29.08.05, 12:03
Dir ist aber aufgefallen, daß bei OUT= nichts drinnen steht? Die Pakete gehen an die FW und ich denke nicht, daß Du Web- oder Mail-Dienste auf der FW anbietest, oder etwa doch?

killerhorse
29.08.05, 12:40
Wie gesagt, TCP Port 80 ist in beide Richtungen erlaubt, der Grund ist natürlich der, dass auf port 80 ein Dienst (Webserver) angeboten wird.

MfG

CHristian

mkahle
29.08.05, 13:07
ok, ich habe irrtümlicherweise angenommen, daß es eine reine FW ist. Was steht denn genau in "RULE 4" drinnen?

cane
30.08.05, 08:59
Aug 28 12:42:17 krasses-pferd kernel: RULE 4 -- DENY IN=eth0 OUT= MAC=00:0c:76:f1:92:5c:00:02:85:0d:60:00:08:00 SRC=65.214.45.4 DST=85.10.193.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=40481 DF PROTO=TCP SPT=40295 DPT=80 WINDOW=14480 RES=0x00 ACK FIN URGP=0

Hab den TCP/IP Handshake grad nicht im Kopf, ich vermute aber mal das es sich um ein korruptes Paket handelt da ACK und FIN gesetzt sind...

Hier finde ich ein solches Paket auch nicht: http://www.vs.inf.ethz.ch/edu/WS0102/VS/TCP-State-Diagram.html

Also funktioniertdeine Firewall vermutlich korrekt da sie Pakete verwirft die es so gar nicht geben kann...

mfg
cane

Harry
30.08.05, 15:04
Das hört sich so an, als hättest Du ein IDS laufen, was Dir bei "merkwürdigen" Paketen die Ports (für eine gewisse Zeit) automatisch sperrt. Hast Du das mal geprüft?

@Cane: ACK/FIN ist völlig korrekt beim 3Wege-Handshake zur Beendigung einer TCP-Verbindung (Ende-Anforderung: ACK/FIN, Antwort1: ACK/FIN, Antwort2: ACK - und Ende).
Genauso gut könnte es auch sein, dass jemand ein gefaktes ACK/FIN (ohne vorherige Session) gesendet hat und das IDS zugeschlagen hat.

Harry

cane
31.08.05, 08:16
@Cane: ACK/FIN ist völlig korrekt beim 3Wege-Handshake zur Beendigung einer TCP-Verbindung (Ende-Anforderung: ACK/FIN, Antwort1: ACK/FIN, Antwort2: FIN - und Ende).

Sorry Harry, muss ich wohl überlesen haben :rolleyes:
Zum Glück sehen vie(le|r) Augen mehr als zwei...


mfg
cane