lechef
01.08.12, 09:43
Hallo,
ein VServer (Debian - 6) verhält sich nicht wie erwartet, hier lief ein BIND, diesen habe ich allerdings schon gestoppt, trotzdem ist auf Port 53 immer noch extrem viel Traffic und er scheint IPTABLES zu ignorieren:
Hier ein tcpdump:
root@vserver:~# tcpdump port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:31:17.962453 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962481 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962487 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962494 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962502 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962566 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
per IPTABLES habe ich nun die IP 91.235.143.129 versucht zu sperren:
iptables -A INPUT -s 91.235.143.129 -j DROP
iptables -A OUTPUT -s 91.235.143.129 -j DROP
Zudem habe ich noch die CSF-Firewall installiert und dort eben auch die IP gesperrt und auch den Port 53 (tcp & udp) ausgeschlossen. Trotzdem habe ich hier im tcpdump den Traffic.
Ich bin etwas ratlos. Da ich auch kein Prozess finden kann der etvl. diesen Traffic produziert.
Gruß
ein VServer (Debian - 6) verhält sich nicht wie erwartet, hier lief ein BIND, diesen habe ich allerdings schon gestoppt, trotzdem ist auf Port 53 immer noch extrem viel Traffic und er scheint IPTABLES zu ignorieren:
Hier ein tcpdump:
root@vserver:~# tcpdump port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:31:17.962453 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962481 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962487 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962494 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962502 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962566 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
per IPTABLES habe ich nun die IP 91.235.143.129 versucht zu sperren:
iptables -A INPUT -s 91.235.143.129 -j DROP
iptables -A OUTPUT -s 91.235.143.129 -j DROP
Zudem habe ich noch die CSF-Firewall installiert und dort eben auch die IP gesperrt und auch den Port 53 (tcp & udp) ausgeschlossen. Trotzdem habe ich hier im tcpdump den Traffic.
Ich bin etwas ratlos. Da ich auch kein Prozess finden kann der etvl. diesen Traffic produziert.
Gruß