habbom
09.08.02, 17:49
Hi,
ich habe per iptables alles was reinkommt auf drop gesetzt, ok, sollte ich nicht machen, aber den Rest hab ich noch nicht so drauf, bin aber dabei das zu ändern.
Mein Home Netz:
Server 1:
Suse 7.3 als Router mit squid und squidgaurd als transparent, über eine isdn-flat 24 Stunden on
Server 2:
Suse 7.3 mit Samba, Named (cache only) , NFS, sendmail
Workstation 1: Suse 7.3
Workstation 2: W98
Workstation 3: W98
Auszug aus dem Logging:
Aug 9 17:07:36 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=207.xx.xxx.xx DST=213.xxx.xxx.xx LEN=355 TOS=0x00 PREC=0x00 TTL=44 ID=57047 PROTO=TCP SPT=80 DPT=1435 WINDOW=17520 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:07:36 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=207.xx.xxx.xx DST=213.xxx.xxx.xx LEN=355 TOS=0x00 PREC=0x00 TTL=44 ID=57047 PROTO=TCP SPT=80 DPT=1435 WINDOW=17520 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:08 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=223 TOS=0x00 PREC=0x00 TTL=246 ID=48312 PROTO=TCP SPT=80 DPT=13368 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:08 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=223 TOS=0x00 PREC=0x00 TTL=246 ID=48312 PROTO=TCP SPT=80 DPT=13368 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:24 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=183 TOS=0x00 PREC=0x00 TTL=246 ID=37237 PROTO=TCP SPT=80 DPT=13045 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
und das geht jetzt den ganzen lieben langen Tag so.
laut RIPE ist 212.xxx.xxx.xx sowie einige andere Anfragen
inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: NL
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
Ist das nun normal ??
Ich hab schon alle Workstations runter gefahren, aber die Abfragen gehen weiter.
Irgendwie hab ich das Gefühl, einen Fehler gemacht zu haben
laut nslookup sind das nameserveranfragen ??
aber forward only in der named.conf heißt doch cache only oder ?
meine named.conf
# /etc/named.conf
#
bind9/misc/options.
options {
directory "/var/named";
auth-nxdomain no;
forwarders {
212.6.64.232;
134.106.61.29;
212.6.64.161;
212.6.64.162;
};
forward only;
listen-on port 53 {
127.0.0.1;
192.168.2.5;
};
query-source port 53;
allow-query { 192.168.2/24; };
notify no;
};
zone "localhost" in {
type master;
file "named.localhost";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.127.0.0";
allow-update { none; };
};
zone "2.168.192.in-addr.arpa" in {
type master;
file "named.192.168.2";
allow-query { localnets; };
allow-transfer { none; };
allow-update { none; };
notify no;
};
zone "home.pc" in {
type master;
file "named.home.pc";
allow-query { localnets; };
allow-transfer { none; };
notify no;
};
zone "." in {
type hint;
file "root.hint";
};
Hat jemend einen Tip, wo ich zur weiteren Suche ansetzen kann
Danke im Voraus und Gruß
Michael
ich habe per iptables alles was reinkommt auf drop gesetzt, ok, sollte ich nicht machen, aber den Rest hab ich noch nicht so drauf, bin aber dabei das zu ändern.
Mein Home Netz:
Server 1:
Suse 7.3 als Router mit squid und squidgaurd als transparent, über eine isdn-flat 24 Stunden on
Server 2:
Suse 7.3 mit Samba, Named (cache only) , NFS, sendmail
Workstation 1: Suse 7.3
Workstation 2: W98
Workstation 3: W98
Auszug aus dem Logging:
Aug 9 17:07:36 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=207.xx.xxx.xx DST=213.xxx.xxx.xx LEN=355 TOS=0x00 PREC=0x00 TTL=44 ID=57047 PROTO=TCP SPT=80 DPT=1435 WINDOW=17520 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:07:36 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=207.xx.xxx.xx DST=213.xxx.xxx.xx LEN=355 TOS=0x00 PREC=0x00 TTL=44 ID=57047 PROTO=TCP SPT=80 DPT=1435 WINDOW=17520 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:08 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=223 TOS=0x00 PREC=0x00 TTL=246 ID=48312 PROTO=TCP SPT=80 DPT=13368 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:08 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=223 TOS=0x00 PREC=0x00 TTL=246 ID=48312 PROTO=TCP SPT=80 DPT=13368 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
Aug 9 17:08:24 host kernel: BLOCK: TCP IN=ippp0 OUT= MAC= SRC=212.xxx.xxx.xx DST=213.xxx.xxx.xx LEN=183 TOS=0x00 PREC=0x00 TTL=246 ID=37237 PROTO=TCP SPT=80 DPT=13045 WINDOW=34752 RES=0x00 ACK PSH FIN URGP=0
und das geht jetzt den ganzen lieben langen Tag so.
laut RIPE ist 212.xxx.xxx.xx sowie einige andere Anfragen
inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: NL
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
Ist das nun normal ??
Ich hab schon alle Workstations runter gefahren, aber die Abfragen gehen weiter.
Irgendwie hab ich das Gefühl, einen Fehler gemacht zu haben
laut nslookup sind das nameserveranfragen ??
aber forward only in der named.conf heißt doch cache only oder ?
meine named.conf
# /etc/named.conf
#
bind9/misc/options.
options {
directory "/var/named";
auth-nxdomain no;
forwarders {
212.6.64.232;
134.106.61.29;
212.6.64.161;
212.6.64.162;
};
forward only;
listen-on port 53 {
127.0.0.1;
192.168.2.5;
};
query-source port 53;
allow-query { 192.168.2/24; };
notify no;
};
zone "localhost" in {
type master;
file "named.localhost";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.127.0.0";
allow-update { none; };
};
zone "2.168.192.in-addr.arpa" in {
type master;
file "named.192.168.2";
allow-query { localnets; };
allow-transfer { none; };
allow-update { none; };
notify no;
};
zone "home.pc" in {
type master;
file "named.home.pc";
allow-query { localnets; };
allow-transfer { none; };
notify no;
};
zone "." in {
type hint;
file "root.hint";
};
Hat jemend einen Tip, wo ich zur weiteren Suche ansetzen kann
Danke im Voraus und Gruß
Michael