Multicastzugriff im Firewalllog [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Multicastzugriff im Firewalllog

thomo999

05.01.11, 09:52

Hallo

Ich bin gerade dabei meine Firewalllog auszuwerten.

Dabei habe ich immer wieder folgende Einträge

INPUT DROP auf Schnittstelle red

Quell IP 192.168.1.1 (DSL Router) Ziel IP 224.0.0.1 (Multicastaddresse)

Quell und Zielport 2 (laut IANA Portliste Compressnet)

Was oder welcher Dienst könnte sich dahinter verbergen??

Gruss

Thomas

Stormbringer

05.01.11, 10:21

uPNP?
MS-AD-Multicast?
Anwendungssoftware, bspw. BitDefender?

Protokolliere doch mal den gesamten traffic bspw. mittels wireshark, dann solltest eigentlich recht zügig die Ursache herausfinden können.

thomo999

05.01.11, 12:26

HI

Habe jetzt mal mit tcpdump mitgeloggt :

13:09:12.960784 IP (tos 0xc0, ttl 1, id 1348, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
192.168.1.1 > 224.0.0.1: igmp query v3

da die IP 192.168.1.1 meine alice box ist kann also nur die Box die Ursache sein, leider lässt sich in der Weboberfläche nichts einstellen im Hinblick auf uPnP oder dergleichen, ansonsten ist nichts weiter an Anwendungssoftware drauf ist ja auch nur ein DSL Router.

Stormbringer

05.01.11, 12:46

Nutzt Du da iptv? Dann dürfte es wohl das zugehörige multicasting sein.

thomo999

05.01.11, 14:47

Nein ich nutze kein IPTv, das ist ja gerade das Eigenartige, ansonsten bin ich am überlegen ob es was von Außen ist, aber was und wie? Das passt nicht zur internen IP 192.168.1.1

Die Firewall ist aktiviert auf der alice Box, geöffnet ist nur der Port 51413 für Transmission Bittorrent client auf meinem alten Laptop.

Dieser Rechner kann aber nicht die Ursache sein, da ich ihn ausgeschaltet hatte, um zusätzliche Fehlerquellen auszuschließen.

Mein LAN sieht im Prinzip so aus DSL Router(mit Firewallfunktion von Alice) - DMZ (mit Laptop und TorrentClient) - FirewallPC mit IPfire - Familynetz.

Wie gesagt der LapTop war ausgeschalten. Dennoch loggt IPFire immer noch diese IGMP Anfragen mit.

Meine Überlegung wäre jetzt mal mit NMAP über Dyndns von außen einen Portscan zu machen, es dürfte ja dann nur der Port 51413 offen sein, und ich wüsste nicht das diese Alice Box einen Fernwartungszugang hätte, zumindest ist weder in der Weboberfläche noch im Internet derartiges dokumentiert.

Das Teil bietet ja nichtmal einen dyndns client an!

Gruss
Thomas