Komisch Logeinträge die durch Surfen mit Clients entstehen [Archiv]

Michiii

04.12.09, 22:53

Hallo erst mal,
kann mir evtl jemand sagen was die Logeinträge bedeuten? Egal auf welchem Client im netz ich Surfe, es werden immer diese Logeinträge geschrieben.
Erst seit Debian 5 ist das so. Mit Debian 4 hatte ich diese Einträge nicht.
so noch n paar Infos:
Debian 5
pppd
www-Server
samba-Server
Fax-Server
...

auszug aus der messages log

Dec 4 22:58:35 maschin kernel: [1653368.135405] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=209.85.135.139 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45279 DF PROTO=TCP SPT=42121 DPT=80 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 4 22:58:36 maschin kernel: [1653369.438168] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=858 DF PROTO=TCP SPT=45390 DPT=80 WINDOW=360 RES=0x00 ACK FIN URGP=0
Dec 4 22:58:47 maschin kernel: [1653380.112939] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=33681 DF PROTO=TCP SPT=45392 DPT=80 WINDOW=360 RES=0x00 ACK FIN URGP=0
Dec 4 22:58:54 maschin kernel: [1653387.744776] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=4620 DF PROTO=TCP SPT=45391 DPT=80 WINDOW=449 RES=0x00 ACK FIN URGP=0
Dec 4 22:59:02 maschin kernel: [1653395.416258] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=209.85.129.102 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=40721 DF PROTO=TCP SPT=53502 DPT=80 WINDOW=484 RES=0x00 ACK FIN URGP=0
Dec 4 22:59:11 maschin kernel: [1653404.314951] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.113 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=42810 DF PROTO=TCP SPT=33384 DPT=80 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 4 22:59:14 maschin kernel: [1653407.380112] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=859 DF PROTO=TCP SPT=45390 DPT=80 WINDOW=360 RES=0x00 ACK FIN URGP=0
Dec 4 22:59:36 maschin kernel: [1653428.831145] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=33682 DF PROTO=TCP SPT=45392 DPT=80 WINDOW=360 RES=0x00 ACK FIN URGP=0
Dec 4 22:59:51 maschin kernel: [1653444.152408] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=74.125.43.157 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=4621 DF PROTO=TCP SPT=45391 DPT=80 WINDOW=449 RES=0x00 ACK FIN URGP=0
Dec 4 23:15:52 maschin kernel: [1654404.837488] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=82.199.80.141 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=15553 DF PROTO=TCP SPT=35474 DPT=80 WINDOW=9432 RES=0x00 ACK FIN URGP=0
Dec 4 23:17:10 maschin kernel: [1654483.296500] IN=eth0 OUT=ppp0 SRC=10.20.0.4 DST=82.199.80.141 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=15554 DF PROTO=TCP SPT=35474 DPT=80 WINDOW=9432 RES=0x00 ACK FIN URGP=0

Michiii

04.12.09, 23:37

meine komplette Firewall

#!/bin/bash

case "$1" in
start)

echo "executing script:"
NET2SERVER="25 80 51234 50020 8767 1194 6881:6889 5479 5482 7060:7100"
#LAN2SERVER=""
#SERVER2LAN=""
SERVER2NET="25 53 80 12975 28960 20510 20500 50020 1194 6881:6889 5479 5482 7060:7100"
NET2LAN="25 80 5004 12975 50020 1194 5479 5482 7060:7100"
LAN2NET="25 80 443 12975 50020 1194 5479 5482 7060:7100"
PORTS2REJECT="auth"
NIC2NET="ppp0"
NICs2LAN="eth0"
allowedICMP="echo-reply echo-request destination-unreachable source-quench time-exceeded parameter-problem"
#############################################
## Module laden ##
#############################################
modprobe -v ip_tables
modprobe -v ip_conntrack
modprobe -v iptable_filter
modprobe -v iptable_mangle
modprobe -v iptable_nat
modprobe -v ipt_LOG
modprobe -v ipt_limit
modprobe -v ipt_state
modprobe -v ipt_owner
modprobe -v ipt_REJECT
modprobe -v ipt_MASQUERADE
modprobe -v ip_conntrack_ftp
modprobe -v ip_nat_ftp

#############################################
## Kernelparameter setzen ##
#############################################
# accept_source_route: Dies würde erlauben, das fremde Rechner den Weg definieren dürfen, den Packete nehmen. Weg.
# accept_redirects: Dies würde fremden Rechnern das Manipulieren der Routing-Tabelle erlauben. Weg.
# *_redirects: Dies würde fremden Rechnern das Manipulieren der Routing-Tabelle erlauben. Weg.
for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,send_redirec ts}
do
echo 0 >$i
done

# Pakete sollen auch weitergeleitet werden "(--> LAN)"
echo 1 >/proc/sys/net/ipv4/ip_forward

# SynCookie-Schutz aktivieren
# echo 1 >/proc/sys/net/ipv4/tcp_syncookies

#############################################
## alle Regeln zurücksetzen ##
#############################################

# Folgende Tabellen gibt es unter Linux, jede enthält chains, welche die eigentlichen Regeln sind:
# filter: Enthält alle filternden Regeln
# nat: Enthält Regeln, welche Ziele verdeckt weiterleiten (Server im LAN von außen erreichen)
# mangle: Hier können Pakete gemangled werden, also manipuliert.

# Zuallererst wir alles zurückgesetzt, das heißt alle Regeln gelöscht und ale Tabellen auf drop gesetzt.
# -F steht für flush, also leeren. -X steht für erase, also löschen.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo "All Rules deleted."
#############################################
## neue Regeln ##
#############################################
# INPUT kommt von draußen, OUTPUT geht rauswärts. Da viele Sachen über höhere Ports (>=1024 - 1024:) abgehandelt
# werden, nachdem auf einem Standard-port die Verbindung verhandelt wurde, lassen wir alle eingehenden
# TCP-Verbindungen zu, die NICHT das erste Paket einer Übertragung sind. ESTABLISHED steht für verbunden, d.h.
# zugehörig zu einer bestehenden Verbindung. RELATED sind Verbindungen, welche vermutlicht ebenfalls zu einer
# bestehenden dazugehören.
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
echo INPUT-states defined!!
iptables -A OUTPUT -p ALL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
echo OUTPUT-states defined!!

# Lokale (-i[nterface] lo) Kommunikation soll natürlich frei verlaufen.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Nun lasse ich den Kontakt zu meinem Server zu. Ähnlich verfährt man mit allen anderen Servern. dport steht für
# d[estination]port und sport für s[ource]port.
for port in $SERVER2NET; do
iptables -A OUTPUT -p tcp --sport $port -j ACCEPT
iptables -A OUTPUT -p udp --sport $port -j ACCEPT
echo "srv2net: Port $port allowed"
done
for port in $NET2SERVER; do
iptables -A INPUT -p tcp --dport $port -j ACCEPT
iptables -A INPUT -p udp --dport $port -j ACCEPT
echo "net2srv: Port $port allowed"
done

# Nun den Kontakt zwischen LAN und SERVER
# Alles erlauben
iptables -A INPUT -i eth0 -p ALL -j ACCEPT
iptables -A OUTPUT -o eth0 -p ALL -j ACCEPT
echo "lan2server und server2lan alles erlaubt"

#for port in $SERVER2LAN; do
#for NIC in $NICs2LAN; do
# iptables -A OUTPUT -o $NIC -p tcp --sport $port -j ACCEPT
# iptables -A OUTPUT -o $NIC -p udp --sport $port -j ACCEPT
# echo "srv2lan: Port $port on $NIC allowed"
#done
#done
#for port in $LAN2SERVER; do
#for NIC in $NICs2LAN; do
# iptables -A INPUT -i $NIC -p tcp --dport $port -j ACCEPT
# iptables -A INPUT -i $NIC -p udp --dport $port -j ACCEPT
# echo "lan2srv: Port $port on $NIC allowed"
#done
#done

# Nun folgen Regeln um das LAN ins internet zu bringen. Dies geschiet AUSSCHLIEßLICH über die FORWARD-chain.
# -o Gerät definiert, ob es rauswärts oder reinwärts geht.
iptables -A FORWARD -o $NIC2NET -p ALL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
for NIC in $NICs2LAN; do
iptables -A FORWARD -o $NIC -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "nics2lan: $NIC opened"
done
for port in $LAN2NET; do
iptables -A FORWARD -o $NIC2NET -p tcp --sport $port -j ACCEPT
iptables -A FORWARD -o $NIC2NET -p udp --sport $port -j ACCEPT
echo "lan2net: Port $port on $NIC2NET allowed"
done
for port in $NET2LAN; do
for NIC in $NICs2LAN; do
iptables -A FORWARD -o $NIC -p tcp --sport $port -j ACCEPT
iptables -A FORWARD -o $NIC -p udp --sport $port -j ACCEPT
echo "net2lan: Port $port on $NIC allowed"
done
done

# Zuletzt aktivieren wir die NAT, somit werden die LAN-Clients auf die Internetseitige IP gefälscht, um von außen
# den Eindruck eines einzigen Rechners zu erzeugen.
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 >$f ; done
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Nun öffnen wir die Kommunikation zur Namensauflösung "(DNS: port 53)". Zuerst die ANfrage an einen DNS. Dieses läuft
# erst über UDP, wenns nicht klappt über TCP. Die Antwort ist schwieriger, da die Antwort über UDP läuft und die
# firewall somit nicht erkennen kann, ob es eine bestehende oder neue Verbindung sein soll. Daher geben wir explizit
# den DNS-Server an.
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
#for DNS in $(cut -d ' ' -f 2 /etc/resolv.conf)
#do
# iptables -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT
# iptables -A INPUT -p tcp -s $DNS --sport 53 -j ACCEPT
# echo "DNS $DNS opened."
#done

# Jetzt kümmern wir uns, um bestimmte ICMP-Packete, welche nicht Port, sondern Inhalt-abhängig sind (Fehlermeldungen).
# Da wir zur Fehlersuche nicht auf [M f/PING in jede Richtung verzichten möchten, lassen wir alles durch.
for type in $allowedICMP; do
for NIC in $NICs2LAN; do
iptables -A INPUT -i $NIC -p icmp --icmp-type $type -j ACCEPT
iptables -A OUTPUT -o $NIC -p icmp --icmp-type $type -j ACCEPT
echo "ICMP: $type on $NIC allowed."
done
done

for type in $allowedICMP; do
for NIC in $NICs2NET; do
iptables -A INPUT -i $NIC -p icmp --icmp-type $type -j ACCEPT
iptables -A OUTPUT -o $NIC -p icmp --icmp-type $type -j ACCEPT
echo "ICMP: $type on $NIC allowed."
done
done

#**Und zuletzt erlauben wir jedwegen Traffic INNERHALB des LAN
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -j ACCEPT
echo "LAN2LAN enabled!"
#**

#############################################
## Logging ##
#############################################
# Wir lassen die restlichen Pakete durchlaufen, aber ignorieren sie, denn wir wollen es einem Eindringling nicht
# gönnen, herauszufinden, was wir so blocken. Einige Ports blocken wir offen, um endlose Wartevorgnge auf der
# anderen Seite zu verhindern.
for PORT in $PORTS2REJECT; do
iptables -A INPUT -p tcp --dport $PORT -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i $NIC2NET -p tcp --dport $PORT -j REJECT --reject-with tcp-reset
echo "$PORT will be rejected."
done
iptables -A INPUT -j DROP

# NETBIOS und CUPS droppen wir Kommentarlos, alles andere zeichnen wir auf.
iptables -A INPUT -p tcp --dport netbios-ns -j DROP
iptables -A INPUT -p tcp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p udp --dport netbios-ssn -j DROP
iptables -A INPUT -p tcp --dport 631 -j DROP
iptables -A INPUT -p udp --dport 631 -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A FORWARD -j LOG

# Außerdem wollen wir die Welt um uns nicht mit ungewollten Paketen belästigen, daher werden diese zurückgewiesen.
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP
echo "Finished!"
/etc/ppp/ip-up.d/forwarding

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabellen flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 >$f ; done
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#Port forwarding
/etc/ppp/ip-up.d/forwarding
echo "IP-Paketfilter gestoppt"
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 (start|stop)"
exit 1
;;

esac