Täglich 70MB Traffic ohne Aktivität [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Täglich 70MB Traffic ohne Aktivität

marcjoerg

14.01.06, 18:54

Hi!

Ich dachte erst, ich brauche so viel Traffic pro Tag, aber nachdem ich mal einen Tag lang alle Client-PCs aus hatte, sah ich, dass der Linux-Server wohl so an die 70MB Traffic pro Tag verursacht. Ein Blick in die /var/log/message lieferte mir folgendes:

Jan 14 19:36:17 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:36:28 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.34.50 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=127 ID=22475 DF PROTO=TCP SPT=2197 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:36:31 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.34.50 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=127 ID=22874 DF PROTO=TCP SPT=2197 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:36:44 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:36:50 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:36:52 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:37:00 HSI-KBW-082-321-543-231 /usr/sbin/cron[7042]: (*system*) RELOAD (/etc/crontab)
Jan 14 19:37:15 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:37:25 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:37:32 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:37:34 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:37:55 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=16473 DF PROTO=TCP SPT=3639 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:37:58 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=17048 DF PROTO=TCP SPT=3639 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:37:59 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:38:00 HSI-KBW-082-321-543-231 /usr/sbin/cron[7042]: (*system*) RELOAD (/etc/crontab)
Jan 14 19:38:02 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=17890 DF PROTO=TCP SPT=4983 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:38:02 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=17909 DF PROTO=TCP SPT=1030 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:38:02 HSI-KBW-082-321-543-231 smbd[13444]: [2006/01/14 19:38:02, 0] lib/access.c:check_access(328)
Jan 14 19:38:02 HSI-KBW-082-321-543-231 smbd[13444]: Denied connection from (82.212.130.156)
Jan 14 19:38:02 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=221.5.251.234 DST=82.212.60.224 LEN=485 TOS=0x00 PREC=0x00 TTL=43 ID=0 DF PROTO=UDP SPT=38326 DPT=1026 LEN=465
Jan 14 19:38:05 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:38:08 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:38:38 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:39:08 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.30.219 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=120 ID=2756 DF PROTO=TCP SPT=2616 DPT=445 WINDOW=8576 RES=0x00 SYN URGP=0 OPT (02040218010303000101080A000000000000000001010402)
Jan 14 19:39:08 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.30.219 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=120 ID=2759 DF PROTO=TCP SPT=2617 DPT=445 WINDOW=8576 RES=0x00 SYN URGP=0 OPT (02040218010303000101080A000000000000000001010402)
Jan 14 19:39:08 HSI-KBW-082-321-543-231 smbd[13452]: [2006/01/14 19:39:08, 0] lib/access.c:check_access(328)
Jan 14 19:39:08 HSI-KBW-082-321-543-231 smbd[13452]: Denied connection from (82.212.30.219)
Jan 14 19:39:10 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:39:19 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=33576 DF PROTO=TCP SPT=3611 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:20 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=33662 DF PROTO=TCP SPT=3670 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:20 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=33668 DF PROTO=TCP SPT=3672 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:20 HSI-KBW-082-321-543-231 smbd[13455]: [2006/01/14 19:39:20, 0] lib/access.c:check_access(328)
Jan 14 19:39:20 HSI-KBW-082-321-543-231 smbd[13455]: Denied connection from (82.212.130.156)
Jan 14 19:39:21 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x08 PREC=0x00 TTL=111 ID=34018 DF PROTO=TCP SPT=3909 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:23 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:39:24 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x08 PREC=0x00 TTL=111 ID=34633 DF PROTO=TCP SPT=3909 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:30 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:39:31 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=35807 DF PROTO=TCP SPT=1489 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:31 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:39:31 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x08 PREC=0x00 TTL=111 ID=35857 DF PROTO=TCP SPT=3909 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:33 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:39:33 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.130.156 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=36389 DF PROTO=TCP SPT=1489 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 14 19:39:48 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:40:00 HSI-KBW-082-321-543-231 /USR/SBIN/CRON[13470]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi)
Jan 14 19:40:00 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:40:02 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:40:27 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:40:33 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:40:35 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:40:42 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.65.5, dev eth0
Jan 14 19:41:00 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 14 19:41:06 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.217.33.1, dev eth0
Jan 14 19:41:08 HSI-KBW-082-321-543-231 last message repeated 2 times

Kann da jemand was heraus finden? Ist das was schlimmes, oder ist 70MB Traffic pro Tag einfach normal?

Danke und Grüße
Marc

BSM

14.01.06, 21:14

Achso, DER Linux Server. Dann ist ja alles klar, nein, dein Rechner hat einen Dicken Wurm und einen Rootkit und vielleicht noch einen Virus. Ausserdem wird er für illegale Aktivitäten benutzt.

Was für ein Server ist das, was macht der, anscheinend hängt der am Internet? Was hat der da noch für Aufgaben etc.

Gruß Robert

Roger Wilco

15.01.06, 00:58

Ist das was schlimmes, oder ist 70MB Traffic pro Tag einfach normal?
Ja, aber was mich an deiner Stelle viel mehr wurmen würde, ist die Tatsache, dass dein Samba Server über das Internet erreichbar ist. :ugly:

gbolk

15.01.06, 08:15

Wieso wurmt Dich das...ich bin immer auf der Suche nach mehr Speicherplatz...;-)...

marcjoerg

15.01.06, 08:59

Hi!

Achso, DER Linux Server. Dann ist ja alles klar, nein, dein Rechner hat einen Dicken Wurm und einen Rootkit und vielleicht noch einen Virus. Ausserdem wird er für illegale Aktivitäten benutzt.

Was für ein Server ist das, was macht der, anscheinend hängt der am Internet? Was hat der da noch für Aufgaben etc.

Gruß Robert

Ja, er hängt am Internet. Ich greife z.B. über VPN darauf zu und somit auf meine Samba-Freigaben. Aber ich dachte ich hatte das richtig abgesichert.

Ja, aber was mich an deiner Stelle viel mehr wurmen würde, ist die Tatsache, dass dein Samba Server über das Internet erreichbar ist. :ugly:

Indirekt wollte ich das so, also dass ich über VPN drauf zugreifen kann.

Aber ihr habt alle recht. Nach einem Blick auf in die info.smbd stand auch, dass jemand auf meine Samba-Freigaben will:

[2006/01/15 09:16:14, 1] smbd/process.c:process_smb(883)
Connection denied from 82.212.9.166
[2006/01/15 09:37:27, 0] lib/access.c:check_access(328)
Denied connection from (82.212.3.163)
[2006/01/15 09:37:27, 1] smbd/process.c:process_smb(883)
Connection denied from 82.212.3.163
[2006/01/15 09:38:43, 0] lib/access.c:check_access(328)
Denied connection from (82.212.13.67)
[2006/01/15 09:38:43, 1] smbd/process.c:process_smb(883)
Connection denied from 82.212.13.67

Soweit ich das beurteilen kann sind das alles IPs von dem Kabelanbieter, bei dem ich auch bin.
Das einzige mal, bei dem ich mein IP (ist "dummerweise" eine statische) veröffentlicht habe, war bei einem Forumseintrag (evtl. sogar hier). Da hatte ich unvorsichtigerweise die IP nicht gelöscht.
Am besten wird sein, ich versuchen meine IP zu wechseln, oder?

Grüße
Marc

Roger Wilco

15.01.06, 13:51

Das einzige mal, bei dem ich mein IP (ist "dummerweise" eine statische) veröffentlicht habe, war bei einem Forumseintrag (evtl. sogar hier).
Es ist egal, ob du deine IP-Adresse "veröffentlichst", es gibt genügend Portscanner, die ganze IP-Ranges durchleuchten.

Am besten wird sein, ich versuchen meine IP zu wechseln, oder?
Am Besten wird sein, du bindest den Samba Server nur an dein internes Netzwerkinterface...

marcjoerg

15.01.06, 14:18

Es ist egal, ob du deine IP-Adresse "veröffentlichst", es gibt genügend Portscanner, die ganze IP-Ranges durchleuchten.

Am Besten wird sein, du bindest den Samba Server nur an dein internes Netzwerkinterface...

Vielen Dank für die Antworten!
Ok, habe meine smb.conf nun geändert zu:

[global]

## Server Identifikation##
workgroup = IBTW
netbios name = SAMBA
server string = Samba Server
#interfaces = 192.168.2.0/255.255.255.0 10.8.0.0/255.255.255.0
interfaces = eth1 lo tun0
bind interfaces only = yes
hosts allow = 192.168.2.0/255.255.255.0 10.8.0.0/255.255.255.0
hosts deny = 0.0.0.0/0

## Verschlesselte Passwoerter verwenden##
smb passwd file = /etc/smbpasswd
encrypt passwords = yes
security = user

##Umgang mit langen Dateinamen##
mangle case = no
case sensitive = no
preserve case = yes
short preserve case = yes

## Performance Options ##
oplocks = yes
fake oplocks = no
socket options = TCP_NODELAY
dead time = 15
read prediction = yes
read raw = yes
write raw = yes
getwd cache = yes

##Logdatei##
debug level = 1
max log size = 1000

##DOS Kompatibilitaet##
dos filetimes = yes
dos filetime resolution = yes

##Timeserver starten##
#time server = yes

##PDA tauglich
use spnego = no

Jetzt gibts in der info.smbd keine "Angriffe" mehr, allerings hat sich in der /var/log/message nicht viel gebessert:

Jan 15 15:06:33 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 15 15:06:52 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.60.1, dev eth0
Jan 15 15:06:58 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 85.216.88.1, dev eth0
Jan 15 15:07:00 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 15 15:07:07 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.30.174 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=12439 DF PROTO=TCP SPT=1058 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:07:08 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.30.174 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=12489 DF PROTO=TCP SPT=1058 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:07:31 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.60.1, dev eth0
Jan 15 15:07:37 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 85.216.88.1, dev eth0
Jan 15 15:07:39 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 15 15:07:52 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.60.1, dev eth0
Jan 15 15:07:58 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 85.216.88.1, dev eth0
Jan 15 15:08:00 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 15 15:08:19 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 82.212.60.1, dev eth0
Jan 15 15:08:31 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.151.208 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=35605 DF PROTO=TCP SPT=2610 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:08:34 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.151.208 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=35730 DF PROTO=TCP SPT=2610 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:08:46 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.20.136 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=1661 DF PROTO=TCP SPT=4546 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:08:47 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.20.136 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=1712 DF PROTO=TCP SPT=4546 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:08:49 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=34041 DF PROTO=TCP SPT=1088 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:08:52 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=35222 DF PROTO=TCP SPT=1088 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:09:11 HSI-KBW-082-321-543-231 kernel: martian destination 0.0.0.0 from 85.216.88.1, dev eth0
Jan 15 15:09:13 HSI-KBW-082-321-543-231 last message repeated 2 times
Jan 15 15:09:17 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=44425 DF PROTO=TCP SPT=3053 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:09:20 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=45575 DF PROTO=TCP SPT=3053 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=17476 OPT (020405B401010402)
Jan 15 15:09:32 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=202.111.173.83 DST=82.212.60.224 LEN=318 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=32777 DPT=1026 LEN=298
Jan 15 15:09:32 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=202.111.173.83 DST=82.212.60.224 LEN=318 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=32777 DPT=1027 LEN=298
Jan 15 15:09:52 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.31.125 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=120 ID=53038 DF PROTO=TCP SPT=1153 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:09:55 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.31.125 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=120 ID=53347 DF PROTO=TCP SPT=1153 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:10:00 HSI-KBW-082-321-543-231 /USR/SBIN/CRON[13154]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi)
Jan 15 15:10:31 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=58.158.92.219 DST=82.212.60.224 LEN=78 TOS=0x00 PREC=0x00 TTL=106 ID=33297 PROTO=UDP SPT=1031 DPT=137 LEN=58
Jan 15 15:11:34 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=31247 DF PROTO=TCP SPT=1059 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:11:37 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.78.148 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32358 DF PROTO=TCP SPT=1059 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:12:24 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.51.154.70 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=18824 DF PROTO=TCP SPT=2711 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
Jan 15 15:12:27 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.51.154.70 DST=82.212.60.224 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=19014 DF PROTO=TCP SPT=2711 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
Jan 15 15:13:09 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.11.137 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=63164 DF PROTO=TCP SPT=1743 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:13:11 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.11.137 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=63484 DF PROTO=TCP SPT=1743 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:13:21 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.11.155 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=59915 DF PROTO=TCP SPT=1717 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:13:21 HSI-KBW-082-321-543-231 kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.11.155 DST=82.212.60.224 LEN=64 TOS=0x02 PREC=0x00 TTL=40 ID=59937 DF PROTO=TCP SPT=1717 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 15 15:14:41 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=221.1.204.252 DST=82.212.60.224 LEN=483 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=33137 DPT=1026 LEN=463
Jan 15 15:14:47 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.34.50 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=127 ID=12079 DF PROTO=TCP SPT=4935 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:14:50 HSI-KBW-082-321-543-231 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.34.50 DST=82.212.60.224 LEN=48 TOS=0x02 PREC=0x00 TTL=127 ID=12382 DF PROTO=TCP SPT=4935 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 15:15:00 HSI-KBW-082-321-543-231 /USR/SBIN/CRON[13173]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi)

Newbie2001

15.01.06, 15:14

wie wärs, wenn du der SuSEFW sagst sie soll Zugriffe auf deinen Samba-Server von aussen blockieren ?

marcjoerg

15.01.06, 15:20

wie wärs, wenn du der SuSEFW sagst sie soll Zugriffe auf deinen Samba-Server von aussen blockieren ?

Hi!

Wie stelle ich das am geschicktesten an?
Aber per VPN kann ich trotzdem noch zugreifen?

Marc

marcjoerg

15.01.06, 18:38

Da ich mich mit der Firewall nicht so gut damit auskenne, habe ich sie mal angehängt. Vielleicht wäre jemand von euch so nett und würde mal drüber schauen, ob ich einen Fehler gemacht habe und somit die externen Ports nicht richtig verschlossen habe.
Irgendwo muss eine Lücke sein, wie die /var/log/message darauf hindeutet, aber wo?
Nochmal kurz:
Ich habe Samba laufen und will per VPN (openVPN) von extern auch darauf zugreifen können. Sonst kann einegtlich alles zu gemacht werden.

Vielen Dank schon mal!

FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT="eth1 tun0 tap0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="1194 445"
FW_SERVICES_EXT_UDP="1194 5000"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
# EXPERT OPTIONS - all others please don't change these! #
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="int"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="yes"
#frueher "no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="no"
FW_IPSEC_MARK=""

nordi

16.01.06, 15:55

FW_DEV_EXT="eth0"
FW_DEV_INT="eth1 tun0 tap0"

[...]

FW_SERVICES_EXT_TCP="1194 445"
FW_SERVICES_EXT_UDP="1194 5000"

Die beiden letzten Felder musst du leer machen, denn damit erlaubst du explizit den Zugriff auf dein Samba von außerhalb. Du greifst zwar (physikalisch) von außerhalb zu. Aber das tust das ja über VPN, auf logischer Ebene also von innerhalb.

marcjoerg

16.01.06, 17:36

Die beiden letzten Felder musst du leer machen, denn damit erlaubst du explizit den Zugriff auf dein Samba von außerhalb. Du greifst zwar (physikalisch) von außerhalb zu. Aber das tust das ja über VPN, auf logischer Ebene also von innerhalb.

Hi!
Danke, hat wohl geklappt, super! Kommen keine "accept"-Zeilen mehr, nur noch Drop

Jan 16 17:53:34 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.117.98.140 DST=82.232.66.122 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=19762 DF PROTO=TCP SPT=2074 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:53:37 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.117.98.140 DST=82.232.66.122 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=20463 DF PROTO=TCP SPT=2074 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:53:50 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=219.138.243.182 DST=82.232.66.122 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=27164 DF PROTO=TCP SPT=59204 DPT=4899 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:53:50 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.151.208 DST=82.232.66.122 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=26625 DF PROTO=TCP SPT=3060 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=256 OPT (020405B401010402)
Jan 16 17:53:53 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.151.208 DST=82.232.66.122 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=26746 DF PROTO=TCP SPT=3060 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:53:56 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.5.181 DST=82.232.66.122 LEN=64 TOS=0x08 PREC=0x20 TTL=40 ID=34417 DF PROTO=TCP SPT=2055 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 OPT (020405B4010303030101080A000000000000000001010402)
Jan 16 17:54:51 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.4.249 DST=82.232.66.122 LEN=64 TOS=0x08 PREC=0x20 TTL=40 ID=42842 DF PROTO=TCP SPT=1458 DPT=139 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC010303000101080A000000000000000001010402)
Jan 16 17:54:54 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=82.212.4.249 DST=82.232.66.122 LEN=64 TOS=0x08 PREC=0x20 TTL=40 ID=43040 DF PROTO=TCP SPT=1458 DPT=139 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC010303000101080A000000000000000001010402)
Jan 16 17:55:00 HSI-KBW-082-232-066-122 /USR/SBIN/CRON[25053]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi)
Jan 16 17:55:15 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=68.61.192.125 DST=82.232.66.122 LEN=48 TOS=0x08 PREC=0x00 TTL=110 ID=30281 DF PROTO=TCP SPT=2584 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:55:18 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=68.61.192.125 DST=82.232.66.122 LEN=48 TOS=0x08 PREC=0x00 TTL=110 ID=30559 DF PROTO=TCP SPT=2584 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 16 17:55:49 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=204.16.208.67 DST=82.232.66.122 LEN=363 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=51952 DPT=1026 LEN=343
Jan 16 17:55:49 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=204.16.208.67 DST=82.232.66.122 LEN=363 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=51952 DPT=1027 LEN=343
Jan 16 17:57:07 HSI-KBW-082-232-066-122 kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:c0:26:28:41:07:00:50:57:01:21:69:08:00 SRC=16.248.150.92 DST=82.232.66.122 LEN=524 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=31260 DPT=1026 LEN=504
Jan 16 17:57:54 HSI-KBW-082-232-066-122 kernel: martian destination 0.0.0.0 from 85.216.88.1, dev eth0

Das ist ok dann so, oder? Aber trotzdem wird das noch die 70MB verursachen, glaube ich. Dass das "anklopfen" und das "ablehnen" so viel MB macht... kaum zu glauben. Gut, ist ja mehrmals pro Minute.
Ich denke nun muss ich einfach warten biss die Gegenstelle aufgiebt, zu versuchen bei mir rein zu kommen.

Danke für alle Tips!