Hi,

ich habe folgendes "Problem". In den /var/log/messages werden alle durchgelassenen Pakete mitprotokoliert. Z.B.:

Nov 3 00:21:57 linux kernel: Packet log: input ACCEPT ppp0 PROTO=6 217.84.45.160:3947 212.62.80.100:4662 L=48 S=0x00 I=37327 F=0x4000 T=123 \
SYN (#35)

Das führt dazu dass die Datei nach 1-2 Tagen sooooo gross ist. Also ich möchte die durchgelassenen Pakete nicht mehr mitgeloggt haben. Bzw. keine durchgelassenen Pakete zum Port 4662.

In der firewall-Conf habe ich folgendes eingestellt:

FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"

Hatte eigentlich gedacht, damit hätte es sich erledigt. (beziehen sich dieses Settings überhaupt auf die messages?) Die Ports gebe ich alle über firewall.rc.config frei, separate ipchains benutze ich nicht.

In der syslog.conf finde ich jetzt auch nichts, womit ich das loggen abstellen könnte.

Wäre nett, wenn mir einer weiterhelfen könnte....

Weiterhin berichtete letztens mein Vater, dass er nicht mehr ins Internet gekommen ist (DSL, route über Firewall).
Die Logs sagten

Nov 3 00:22:03 linux kernel: Packet log: output DENY ppp0 PROTO=1 212.62.80.100:3 212.62.64.34:3 L=56 S=0x00 I=50457 F=0x0000 T=127 (#7)

Und das mehrfach. Soweit ich erfahren habe, handelt es sich da um ICMP Pakete vom DNS die mein Server verweigert hat. Ich hab aber nirgendswo verboten, dass ICMP Pakete verweigert werden.

Mein Vater hat daraufhin den Stecker rausgezogen (dafür gabs auch ordentlich Lack). Dann gings wieder aber ich konnte das Problem leider nicht weiter erörtert.

Ist bis jetzt auch nur 1x aufgetreten. Kann es sein, dass es am DNS lag?

Vielen Dank schonmal...

vermute ich mal das du noch IPCHAINS benutzt.
Hier bedeutet Raute und Zahl die Regel in deinem Firewall Script. Also (#7) die siebente Regel.
Da wurden ICMP Pakete (PROTO=1) auf Port 3 von der 7ten Regel verweigert. Wahrscheinlich ist dieser Port zu. Der DNS wollte komprimierte Pakete schicken, Zone Files mit rsync ?

FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
Damit werden alle "kritischen Nachricht" gelogt. Da das loggen vom syslog uebernommen wird und IPCHAINS eine *Kernel Funktion" ist, logt er bei dieser Einstellung alle Pakete in dieser Priorität.

crit Kritische Fehlermeldungen, gerade noch gutgegangen...
aus --> http://www.linuxfibel.de/printversion/protocol.htm

T;o)Mes

Hi,

danke erstmal für die schnelle Antwort. Ich benutzte noch IPChains, hatte es wohl etwas undeutlich vormuliert. Regel 7 besagt:

DENY icmp ----l- dsl81-215.teleos-web.de anywhere port-unreachable

Das war wohl nen Volltreffer ;-) Muss ich mich jetzt doch mal mit IPChains beschäftigen. Bislang hatte die Konfiguration per rc.config.d eigentlich gut geklappt, aber wie die da rein kommt.
Was besagt denn genau "port-unreachable"? Der DNS Server will per icmp die Information senden dass der Port nicht zu erreichen ist oder wie?

Danke noch für den Link, werde ich die Tage mal durcharbeiten.

Was unterscheidet denn einen kritsches Accept von einem normalen? Bzw. warum ist der erlaubte Zugriff auf den Port kritisch?

--> http://www.kryptocrew.de/archiv/linux/security/ipchains.html
Habe leider schon lange nichts mehr mit IPCHAINS zu tun, aber im Netz/hier auf den Board findes du bestimmt ne Menge Material dazu. ;)

Was unterscheidet denn einen kritsches Accept von einem normalen?
Da zu muss du dir einfach mal die Seite zum Syslog anschauen und mit bzw in welchen log-Level die Firewall arbeitet.

Bzw. warum ist der erlaubte Zugriff auf den Port kritisch?
Nur soviel:
IPCHAINS ist Kernel, alles was der Kernel im Zusammenhang mit IPCHAINS macht, wird mit dieser/n Regel/n vom Syslog geloggt.

T;o)Mes

Hallo,

die Logmeldung ist wie folgt zu interpretieren:

Original geschrieben von I-Master
Nov 3 00:22:03 linux kernel: Packet log: output DENY ppp0 PROTO=1 212.62.80.100:3 212.62.64.34:3 L=56 S=0x00 I=50457 F=0x0000 T=127 (#7)
PROTO=1 -> ICMP
212.62.80.100:3 212.62.64.34:3 -> ICMP-Type 3

Zusammen genommen ergibt das eine ICMP-Destination-Unreachable-Meldung, die Dein Router über ppp0 raussenden wollte jedoch aufgrund der DENY-Regel nicht raussenden durfte. Die auslösende Ursache kann eine nahezu beliebige Anfrage aus dem Internet auf den Router gewesen sein.
Ansonsten schaut das nicht nach einem "bösen Angreifer" aus :D

Harry

Die Empfangs-IP ist mein DNS aber was heisst das Unreachable genau?

Das "Destination-Unreachable" bezieht sich auf eine vorausgehende Anfrage vom DNS-Server, die Deine Firewall nicht zugelassen hat und als Reaktion diese "Destination-Unreachable"-Meldung erzeugt hat.
Diese Meldung sorgt beim Erhalt auf dem DNS-Server normalerweise für den sofortigen Abbruch der vorausgehenden Aktion, da der Server damit den Hinweis bekommt, dass der adressierte Host (oder das Netz oder der Port) nicht erreichbar ist.

Ist - wie schon gesagt - nichts schlimmes.

Harry