PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : was bedeuten diese log einträge



bp
27.01.03, 21:43
ich schon wieder! hoffentlich nerve ich nicht schon langsam aber ich habe halt andauernd neue fragen

es geht um folgende logs:

Jan 27 18:27:01 pille kernel: IPTABLES_POSSIBLE_ATTACK IN= OUT=eth1 SRC=145.253.179.70 DST=152.163.140.10 LEN=118 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=50 LEN=98

Jan 27 18:34:27 pille kernel: IPTABLES_POSSIBLE_ATTACK IN= OUT=eth1 SRC=145.253.179.70 DST=152.163.140.11 LEN=210 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=52 LEN=190

der nameserver(152.163.140.10 bzw. 152.163.140.11) stellt eine anfrage an port 53 von port 50 bzw. 52
mein nameserver (145.253.179.70) versucht an port 50 bzw. 52 zu entworten. Die firewall läßt aber antworten nur an zielports größer 1023 zu. Die folge ist nun das mein nameserver mit host not reachable antwortet. Ich habe jetzt schon als ausnahme antworten an port 53 zugelassen, weil ich bemerkt habe das es da öfters probleme gibt. Bin ich zu restiktiv und sollte udp antworten an alle ports zulassen?

CEROG
28.01.03, 05:15
Hallo bp,

kannst du überprüfen, wie andere Anfragen an Deinen Port 53 aussehen?

Das Problem scheint mir eher die Anfragende Stelle zu sein. Laut Internet Storm CenterInternet Storm Center (http://isc.incidents.org) dient Port 50 für Remote Mail Checks und Port 52 für das XNS-Time-Protokoll.

Wenn dein System mit anderen Anfragen an deinen Nameserver keine Probleme macht, würde ich es so lassen.

Mich wundert allerdings, daß AOL seine Nameserver so falsch konfiguriert haben soll.

Viele Grüße,
CEROG

bp
28.01.03, 06:22
also ich habe in den letzten 4 tagen 6 einträge dieser art, vier davon von den aol servern, die restlichen 2 von den servern mit der ip 64.12.66.8#51 und 64.12.66.7#51, aber die sind zur zeit nicht erreichbar. ich kann dir aber nicht sagen wieviele nameserver erfolgreich / ohne probleme angefragt haben, sowas wie eine bind logdatei finde ich nicht. gibts die echt nicht? ich nehme an hier handelt es sich nicht nur um anfragen sondern um zonentransfers, denn bei anfragen von einem client aus hatte ich noch nie probleme. Ich kann mir irgendwie auch nicht vorstellen das aol sowas falsch macht.

CEROG
28.01.03, 17:21
Hallo bp,

da ich bei mir keinen Nameserver laufen habe, weiß ich auch nicht, wo das Log steht, wenn es so etwas überhaupt gibt.

Ich habe mal nachgeschaut, die beiden anderen IPs sind auch von AOL.

Da die Adressen nicht zu erreichen sind, würde ich vermuten, daß hier jemand mit einer dynamischen IP aus den AOL-Blocks bei sich etwas falsch konfiguriert hat und die Sache erst mal weiter beobachten.

Viele Grüße,
CEROG

Jinto
28.01.03, 22:22
IIRC hab ich in einem Paketfilter Script einmal einen Kommentar gelesen, dass es bei AOL häufiger zu DNS Anfragen über TCP kommt. Also DNS Anfragen über TCP sollte man als AOL Kunden dementsprechend schon zulassen.

HTH

Harry
29.01.03, 00:09
Hallo,

normale Nameserver-Lookups von anderen Nameservern werden i.A. immer über Source-Port 53/udp und Destination-Port 53/udp durchgeführt. Wenn es also da draussen zwei Nameserver gibt, die deinen Nameserver abfragen (warum auch immer - für diesen Grund solltest du dir die Ursachen genauer anschauen), dann ist eine Kommunikation 53/udp<->53/udp normal.

Ein Nameserver-Lookup von einem Client kommt i.d.R. von einem nicht-privilegierten Port (>1023); diese läßt du ja generell zu und daher gibt's dort auch keine Probleme.

Wenn du eigene öffentliche Zonen auf deinem Nameserver hostest, dann wäre es ok, dass andere Nameserver deinen Nameserver befragen. In diesem Falle solltest du Antworten an 53/udp fremder Rechner zulassen.
Hostest du dagegen keine öffentlichen Zonen, dann kannst du die obigen Logeinträge einfach ignorieren.

PS: Zonentransfers werden üblicherweise über tcp durchgeführt und haben mit deinen Log-Einträgen nichts zu tun.

Harry

bp
29.01.03, 00:52
vielen dank! diese information hat mir gefehlt. ich hoste öffentliche zonen und meine firewall arbeitet also richtig, somit ignoriere ich diese logs.

Harry
29.01.03, 09:02
Ähm ... wenn du öffentliche Zonen hostest, dann mußt du Antworten an Port 53/udp durch die Firewall rauslassen. Du mußt also deine Firewallregeln überarbeiten.

Harry

bp
29.01.03, 11:28
vielen dank für den hinweis, aber wie ich oben (ganz oben ) schon geschrieben habe ist port 53 udp/tcp nach drausen offen, es stimmt also alles.
An dieser stelle möchte ich mal erwähnen das dieses forum erste klasse ist. Linux ist nicht nur ein Betribssystem sondern auch eine tolle gemeinschaft an interresanten menschen. Danke!

MatthiasB
01.02.03, 00:55
das loggin kann in der named.conf zugeschaltet werden.
was dort protokolliert werden soll, wird über die auswahl der channels bestimmt.

das beispiel protokolliert die auflösung der namen in /var/named/named.queries mit:

logging {
channel default_debug {
file "named.queries";
severity debug 2;
print-time yes;
};
};

mfg
matthias