Archiv verlassen und diese Seite im Standarddesign anzeigen : ungewöhliche firewall meldung? hackversuch?
hallo
ich habe heute eine firewall meldung gefunden, aus der ich nicht schlau werde.
kurz zum system:
192.168.17.50 ist der linux server, er besitzt 2 netzwerkkarten
eth0 internes netz
eth1 dsl
die firewall meldung:
Aug 8 03:58:52 taur2 kernel: DROP_ICMP IN= OUT=eth0 SRC=192.168.17.50 DST=192.168.17.12 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=22206
PROTO=ICMP TYPE=3 CODE=0 [SRC=192.168.17.12 DST=80.67.18.21 LEN=60 TOS=0x00
PREC=0x00 TTL=64 ID=457 DF PROTO=TCP SPT=57717 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0 ]
soweit ich die meldung verstehe, hat der server in der nacht versucht, einen ping an den pc 192.168.17.12 zu schicken.
soweit so gut, aber was mich verwirrt ist das die DST-Adresse 80.67... von extern kommt.
hat jemand versuch in das netz zu kommen?
oder verstehe ich die meldung nicht? :)
danke
Ein versuchter Ping von extern, über deinen Server an den genannten Host?
Ein versuchter Ping von extern, über deinen Server an den genannten Host?
und warum taucht der port 110 ( pop3 ) auf?
wie teste ich ob, ob die firewall versagt.
wie kann ich von extern ( intern ) einen ping ueber den server schicken.
( wie in dieser firewall log )
folgendes habe ich bei auf meinem pc versucht:
route add ip-nummer-des-server dev dsl0
route add 192.168.17.12 gw ip-nummer-des-servers
aber es kommt bei dem server nichts an.
was mache ich falsch?
Sorry. ICMP Type 3 ist "Destination unreachable message", nicht "Echo Reply". In diesem Fall hat dein Server einem internen Host gesagt, dass das Ziel nicht erreichbar ist.
Sorry. ICMP Type 3 ist "Destination unreachable message", nicht "Echo Reply". In diesem Fall hat dein Server einem internen Host gesagt, dass das Ziel nicht erreichbar ist.
stehe ich auf dem schlauch oder sprechen wir aneinander vorbei? :)
type3 ist klar.
meine frage:
wie schafft es eine ip von extern, einen ping ins "interne" netz zu schicken?
ich habe es nicht geschafft, das was nichts heisse soll :)
welche routen muss ich eintragen, damit ich die firewall testen kann, ob diese externe packete in das interne netz weiterleitet.
( wenn die zieladresse das interne netz ist )
mercy
Warum Ping? Ich hatte mich in meinem ersten Posting vertan. Das Paket ist ein ICMP Type 3. Wenn es ein Echo Request oder Echo Reply wäre, hätte es einen anderen ICMP Typ. In deinem Fall hat der Host 192.168.70.12 versucht auf den Host 80.67.18.21:110/tcp zuzugreifen. Da der Host 192.168.70.50 Router spielt, hat er natürlich die Anfrage gestellt, eine Antwort bekommen das es nicht geht und gibt diese korrekt an den Host 192.168.70.12 weiter. Und diese Antwort ist gefiltert worden.
wie schafft es eine ip von extern, einen ping ins "interne" netz zu schicken?
SRC=192.168.17.12 DST=80.67.18.21
sieht aber nicht so aus, als ob da ext nach int wollte - ausser, ich interpretiere da was falsch...
sieht aber nicht so aus, als ob da ext nach int wollte - ausser, ich interpretiere da was falsch...
Das war der ursprüngliche Request.
sieht aber nicht so aus, als ob da ext nach int wollte - ausser, ich interpretiere da was falsch...
soweit ich das verstanden habe. wollte jemand ueber eine externe ip eine interne ip anpingen. das aber nicht funkioniert hat, da der pc nicht an war bzw. die fw blockiert hat.
was mich verunsichert ist, das "erst" die "OUT" regel zugeschalgen hat und nicht die "IN" bzw. FORWARD regel.
jetzt will ich die sache testen, aber wie?
externe ip - internet - server mit fw - interne ip
wie kann ich das testen?
wie kann ich testen welche iptables regel falsch ist?
soweit ich das verstanden habe. wollte jemand ueber eine externe ip eine interne ip anpingen. das aber nicht funkioniert hat, da der pc nicht an war bzw. die fw blockiert hat.
Dann hast du das falsch verstanden. Siehe mein Posting. ICMP != Ping.
Dann hast du das falsch verstanden. Siehe mein Posting. ICMP != Ping.
dann habe ich es echt falsch verstanden!
danke an alle
Ich sagte doch das ich mich im ersten Posting mit dem ICMP Type vertan habe und das dieses Paket nichts mit Ping oder Echo Request / Reply zu tun hat.
Problem gelöst? Frage geklärt?
Problem gelöst? Frage geklärt?
ich habe ueber dein posting nochmla nachgedacht. und muss nochmal bloed nach fragen.
folgedendes ist passiert:
pc 17.12 hat einen ping an extern gestellt
firewall erlaubt einen ping nach extern
dann kommt die antwort von extern, das der externe pc nicht erreichbar ist.
diese meldung blokiert die firewall
stimmt das so?
wenn hat, dann sollte man doch diese meldung freischalten... oder?
folgedendes ist passiert:
pc 17.12 hat einen ping an extern gestellt
firewall erlaubt einen ping nach extern
dann kommt die antwort von extern, das der externe pc nicht erreichbar ist.
diese meldung blokiert die firewall
Und ich frage dich noch mal: Warum Ping? Wie kommst du darauf?
Und ich frage dich noch mal: Warum Ping? Wie kommst du darauf?
jetzt ist ein licht aufgegangen.
ich habe mich nochmal infomiert ( http://www.different-thinking.de/icmp.php )
also der pc 17.12 hat einen anfrage gestellt. ( externen pc port 110 )
der externe pc hat geanwortet, das der port nicht verfügbar ist
die meldung hat di firewall blockiert
sollte man ICMP Typ3 erlauben?
jetzt ist ein licht aufgegangen.
ich habe mich nochmal infomiert ( http://www.different-thinking.de/icmp.php )
also der pc 17.12 hat einen anfrage gestellt. ( externen pc port 110 )
der externe pc hat geanwortet, das der port nicht verfügbar ist
die meldung hat di firewall blockiert
Genau das habe ich dir versucht zu erlären. :)
sollte man ICMP Typ3 erlauben?
Ich sehe keinen Grund ICMP überhaupt zu blocken.
Genau das habe ich dir versucht zu erlären. :)
Ich sehe keinen Grund ICMP überhaupt zu blocken.
hat etwas gedauert... aber jetzt habe ich es auch kappiert. :)
somit hat sich alles erledigt...
nochmal DANKE
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.