Hallo,

ich habe auf meinem Router (alter SUSE-Rechner) eine iptables-Firewall laufen. Nun finde ich in den Log-Files verworfene Anfragen, die ich nicht verstehe:

Es handelt sich immer um das Protokoll ICMP auf Port 3 der äußeren Netzwerkkarte nach Port 1 irgendwo extern. "Irgendwo" heißt beispielsweise eine Adresse "projects.sourceforge.net", an die ich mich nicht erinnern könnte sie aufgerufen zu haben, oder aber ein auf der Firewall eingetragener Nameserver.

Was sind das für Anfragen? Soll ich die zulassen?

Danke für alle Infos

michel_vaclav

Poste doch bitte die betreffenden Logs. Dein Problem ist ziemlich schlecht nachzuvollziehen da es bei ICMP nämlich keine Ports gibt, sondern nur Types die wiederum Codes enthalten können.
Type 1 gibts nicht, daher gehe ich davon aus dass es sich um Type 3 Code 1 handelt (Host Unreachable). So ein Packet wird erzeugt wenn man versucht auf ne IP zuzugreifen an der kein Rechner angeschlossen ist oder der Rechner einfach nicht antwortet.
Sind es denn eingehende oder ausgehende Packete?

Hallo Georges,

der Eintrag wird von fwlogwatch generiert, dort wird unter ports 3 bzw 1 angegeben.
In der Tat lautet der Original-Eintrag aus /var/log/messages:
Nov 4 08:57:08 firewall kernel: DROP_OUT IN= OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=107 TOS=0x00 PREC=0xC0 TTL=64 ID=39959 PROTO=I
CMP TYPE=3 CODE=1 [SRC=192.168.1.1 DST=192.168.2.2 LEN=79 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=53 DPT=32809 LEN=59 ]
Nov 4 08:57:08 firewall kernel: DROP_OUT IN= OUT=eth0 SRC=192.168.1.2 DST=66.35.250.209 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=17362 PROTO=
ICMP TYPE=3 CODE=1 [SRC=66.35.250.209 DST=192.168.2.2 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=37066 WINDOW=5792 RES=
0x00 ACK SYN URGP=0 ]
Nov 4 08:57:08 firewall kernel: DROP_OUT IN= OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=116 TOS=0x00 PREC=0xC0 TTL=64 ID=39960 PROTO=I
CMP TYPE=3 CODE=1 [SRC=192.168.1.1 DST=192.168.2.2 LEN=88 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=53 DPT=32807 LEN=68 ]
Es handelt sich ausschließlich um ausgehende Pakete.
Die erste Zeile interpretiere ich als DNS-Anfrage von der Firewall (192.168.1.2) auf meinem DSL-Router (192.168.1.1).
Die zweite Zeile ist die fragliche Anfrage der Firewall auf "projects.sourceforge.net".
Die dritte Zeile ist nochmals eine DNS-Anfrage der Firewall auf dem DSL-Router.
Aber was bedeuten die Einträge in eckigen Klammern?

Danke

michel_vaclav

Die ICMP Packete vom Type 3 Code 1 melden eigentlich nur fehlgeschlagene Verbindungsversuche, in diesem Fall weil der Destination Host nicht antwortet.
So, das wars dann eigentlich schon fast mit meinem Wissen über ICMP.
Aber wenn ich das richtig deute müsste das in den eckigen Klammern die fehlgeschlagene Verbindung sein. Was mir dabei auffällt ist dass die destination immer 192.168.2.2 ist. Gibts bei dir den unter der IP nen Rechner?

Was mir dabei auffällt ist dass die destination immer 192.168.2.2 ist. Gibts bei dir den unter der IP nen Rechner?
Ja, mein "inneres" Netz bestehend aus einem Rechner hat die 192.168.2.1 und 192.168.2.2. Von der 2 surfe ich, die 1 ist die innere Netzwerkkarte der Firewall.

Dann werde ich versuchen, eine Regel zu basteln, die diese fehlgeschlagenen Verbindungsversuche ausfiltert.

Danke

michel_vaclav