Hallo

Ich habe einen Zywall10 von Zyxel. Als ich die Log Dateien durchsah, bin ich
auf folgendes gestossen:

No. Time Packet Information Reason Action
1|Dec 23 02 |From:212.6.108.65 To:192.168.0.10 |attack icmp |block
| 09:09:11 |ICMP type:00011 code:00000 |vulnerability |
End of Firewall Log

Von diesen Einträgen gibt es noch mehr in den Log Dateien.
Zum Teil von der gleichen IP aber auch von anderen.

Auf dem Rechner 192.168.0.10 läuft emule und soulseek. Folglich habe ich
die Ports die dazu benötigt werden auf diesen Rechner geleitet.

Kann das sein, dass das gar keine Attacken sind, sondern lediglich von diesen
Programmen kommen? Oder sollte ich mir Sorgen machen und was unternehmen?

wenn du emule nutzt, dann bekommst eben schon mal ne ganze menge anfragen aus dem donkeynetz. weil jeder fragt ja bei jedem nach ob er noch da ist, bzw ob er teile von diesem oder jenem hat. da ist es ganz normal, dass du ziemlich viele pinganfragen bekommst.

Das hab ich mir auch gedacht, aber wiso sperrt bzw. erkennt das der Firewall als
icmp Attacke?

@gasometer

Weil Du deine Firewall so konfiguriert hast;)
Es könnten verstümmelte ip Packete sein die von einem Portscanner stammen und deshalb von deiner Firewall geblockt werden.

Guck Dir mal dein Firewallscript an - da müßten Dir die Einträge bezüglich icmp auffallen.
Da gibt es verschiedene icmp Typen mußt Du mal nach googeln welcher Typ wofür da ist - hab keine Lust das jetzt alles hier aufzulisten...

Dein Firewallscript basiert wenn dein Kernel älter ist auf ipchains und wenn er neuer ist auf iptables. (Wenn er ganz alt ist auf ipfadmin oder so aber as glaube ich nicht).
iptables ist sozusagen das frontend mit dem Du die Packetfilterung im Kernel steuerst.
Und da man ja nicht bei jedem Rechnerstart auf der Kommandozeile neu eingeben will welche Packete durchgelassen werden sollen und welche nicht packt man diese Einstellungen in das Firewallscript welches dann bei jedem Systemstart automatisch geladen wird.

Zu beiden gibts bei Deiner Distribution warscheinlich ein HowTo und es ist auch nicht sehr schwer zu verstehen wie ipchains funktionieren.

mfg
cane

OK cane, du hast recht.
Nur hab ich einen Hardware Firewall von Zyxel (Zywall10), da kann ich soviel ich weiss
nicht viel einstellen in dieser Richtung. Oder ich habs einfach noch nicht rausgekriegt :rolleyes:
Aber trotzdem Danke!
Ich hab jetzt auch ein bisschen über icmp gelesen und ich denke, dass ich mir
da keine grossen Gedanken darüber machen muss. Da ja dies von emule und soulseek
zu kommen scheint :)

Wolln wir's hoffen...

Hast Du denn keine Dokumentation zu dem Router???

cane

Naja, die Doku dazu umfasst so ca. 330 Seiten.
Ich habe die mal ein wenig durchgelesen, aber hab da nix gefunden wo man sowas
einstellen könnte.
Da sind einstellungen von Ports und NAT. Ich kann den Firewall aktivieren oder
deaktivieren u.s.w. aber Einstellungen wie bei IPTables ode so hab ich da
noch nicht gefunden. Sie ist so konfiguriert, dass DoS Angriffe u.s.w. abgewehrt werden.
Zu den DoS Angriffen kann ich noch Anzahl Verbindungen und Zeit
definieren. Aber ich sollte die Doku nochmals genau anschauen :)

Haste ja warscheinlich jetzt um Weihnachten genug Zeit zu;)

cane

Naja, hab da eigentlich noch viel anderes vor, aber
ich denke doch dass das etwas Vorrang hat!
Hab übrigens grad mal ne Beschreibung meiner Firewall gefunden, so wie ich das sehe,
kann ich das wirklich nicht einstellen. Das ist alles Voreinstellung.
Aber die Doku nochmals durchsehen kann auch nicht schaden :)


Produktbeschreibung:
Die SOHO-Firewall ist mit robusten Sicherheitsfunktionen wie Stateful-Inspection und Abwehr von Denial-of-Service-Attacken ausgestattet und eignet sich vor allem für den Einsatz zuhause oder im Kleinbetrieb. Die ZyWALL 10 kann maximal 10 VPN-Verbindungen aufbauen.


Firewall Security
In den Firewalls von ZyXEL ist Stateful Inspection, eine Technologie, wie sie auch bei Firewall-Marktführer Check Point eingesetzt wird, integriert. Daten aus dem Internet werden nur durch die Firewall gelassen, wenn sie Teil einer Session sind, welche von einem Benutzer aus dem sicheren Netz initialisiert wurde. Hacker und andere nicht autorisierte Benutzer werden abgeblockt. In einem Log-File werden Attacken auf die Firewall aufgezeichnet und können via E-Mail an den Systemverantwortlichen gesendet werden. Erhöht wird die Sicherheit zusätzlich durch Network Address Translation. Dies erlaubt den Firmen private Adressen zu verwenden, gegen aussen ist aber nur die offizielle Router-Adresse sichtbar. Um den Schutz gegen neue Web-Technologien wie Java, ActiveX und Cookies zu gewähren, können diese wahlweise abgeblockt werden. Ein weiteres wichtiges Element ist die Protektion gegen Denial-of-Service-(DoS)-Attacken. Die bekannten Attacken wie Ping of Death, LAND Attack und IP-Spoofing werden automatisch geblockt.

Schöne Worte für Funktionen die ein jedes Iptables Script erfüllen kann:)

Vielleicht guckst Du mal auf der Herstellerseite oder googelst nach Zywall10...

Good luck
cane

Da sind einstellungen von Ports und NAT

sind ja auch bestandteile von iptables. lies mal alles was dazu steht und artverwandt durch in deinem büchlein