Hallo Zusammen habe ein kleines Problem mit der Firewall von SuSE 8.0 und zwar schreibt diese alle paar sekunden nen Firewall eintrag ala :

Feb 27 00:32:10 beaker kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=xxxx
Feb 27 00:32:13 beaker kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=xxxxxx
Feb 27 00:32:16 beaker kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=xxxx

was bedeutet denn das alles und wie bekomme ich die dauernden einträge weg ? :) denn auf die dauer wirds ziemlich viel :rolleyes: :D

wäre nett wenn ihr mir weiter helfen würdet.


Bye Prophet

moin

was die einträge bedeuten => das deine firewall anfragen, die nicht erlaubt sind, dropt (fallen läßt). was für anfragen das genau sind, kann man anhand der *logfile schnipsel* die du reingestellt hast, nicht beantworten.


was bedeutet denn das alles und wie bekomme ich die dauernden einträge weg ?

du kannst das logging in der config datei natürlich deaktivieren, ist aber nicht unbedingt sinnvoll.


Gruß HL

danke für die schnelle antwort...nur das problem ist...der rechner ist an (auch nachts) und keiner geht ins netz (ausser der proxy) der dann wiederum alle ~20sek, ~30sek ne meldung reinschreibt. Das find ich ziemlich komisch an der sache. Hab in der Config nur gesagt das die Firewall bei critical logen soll :( :/

Feb 27 00:17:01 beaker kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=200.43.176.87 DST=80.137.112.197 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=46089 DF PROTO=TCP SPT=2182 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A001010402)

Feb 27 00:17:14 beaker kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=200.43.176.87 DST=80.137.112.197 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=25868 DF PROTO=TCP SPT=2182 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A001010402)

Feb 27 00:24:08 beaker kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.142.158.66 DST=80.137.112.197 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=15558 DF PROTO=TCP SPT=59290 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405780402080A05D6AAF20000000001030300)

hi

das sind die üblichen *verdächtigen* für's logfile fluten. mal ne kurze erklärung zu den log's

SuSE-FW-DROP <== die firewall dropt ein paket

IN=ppp0 <== am externen Interface

SRC <== source IP ( vom anfragenden host)

DST <== deine IP

PROTO=TCP <== protokoll tcp

SPT=2182 <== source port

DPT=139 <== port an welchen die anfrage(auf deiner kiste) erfolgt, in diesem fall netbios

DPT=4662 <== hier zum beispiel ein donkey-paket

SYN <== gesetztes tcp-flag syn, steht für verbindungsaufbau


um auf den punkt zu kommen. die susefirewall ist nicht sehr flexibel, was das logging angeht. wenn du ein eigenes script einsetzt, kannst du bestimmte ports vom logging ausschließen.


Gruß HL

besten danke :)

ich werd mal sehn was sich machen lässt ... aber wo wir gerade bei firewall sind hab gerade in der log dieses hier entdeckt :

Feb 27 10:28:11 beaker kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ppp0 OUT= MAC= SRC=217.11.192.177 DST=80.137.86.43 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=13404 DF PROTO=TCP SPT=80 DPT=28315 WINDOW=31944 RES=0x00 ACK SYN URGP=0 OPT (020405AC0402080A21F2B840039BFEF501030300)

o_O so welche sachen über sieht man halt bei dem ganzen ienträgen :(

gruß Prophet

hi


o_O so welche sachen über sieht man halt bei dem ganzen ienträgen

ich kenn das problem, das war mit ein grund warum ich auf ein eigenes script *umgestiegen* bin. im config-file der susefirewall gibt es die möglichkeit, eigene regeln zu definieren. allerdings habe ich das ganze noch nicht probiert.

du kannst ja mal als root folgenden befehl eingeben

iptables -A INPUT -p TCP --dport 4661:4665 -j DROP

und dann mal die log's beobachten. dort sollten dann eigentlich keine donkey-pakete mehr auftauchen.


Gruß HL

ich verusch mich gerade durch die config zu schlagen ... bloss WO muss ich den eintragen machen ? *schäm*

ok hab schon :D

also nach beobachten der log kommen die edonkey pakete immer noch :/

was genau hast du gemacht?

ich meinte eigentlich, das du obigen befehl in die konsole *hackst*


Gruß HL

jo hab ich auch :D habs nur falsch gelesen ... sorry ... aber habs dann in der konsole gemacht und die log beobachtet und die fw logt immer noch

kannst du mal die ausgabe von iptables-save posten

# Generated by iptables-save v1.2.5 on Thu Feb 27 14:41:44 2003
*nat
:PREROUTING ACCEPT [126816:11042927]
:POSTROUTING ACCEPT [16582:1662198]
:OUTPUT ACCEPT [69048:4813301]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 27 14:41:44 2003
# Generated by iptables-save v1.2.5 on Thu Feb 27 14:41:44 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12:876]
:forward_dmz - [0:0]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_dmz - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 137:138 -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -d 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -s 192.168.1.99 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 192.168.1.99 -j DROP
-A INPUT -s 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 80.137.86.43 -j DROP
-A INPUT -d 80.137.86.43 -i ppp0 -j input_ext
-A INPUT -d 192.168.1.99 -i eth1 -j input_int
-A INPUT -d 192.168.1.255 -i eth1 -j DROP
-A INPUT -d 255.255.255.255 -i eth1 -j DROP
-A INPUT -d 80.137.86.43 -i eth1 -j LOG --log-prefix "SuSE-FW-NO_ACCESS_INT->FWEXT " --log-tcp-options --log-ip-options
-A INPUT -d 80.137.86.43 -i eth1 -j DROP
-A INPUT -j LOG --log-prefix "SuSE-FW-UNAUTHORIZED-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 4661:4665 -j DROP
-A INPUT -p tcp -m tcp --dport 4661:4665 -j DROP
-A INPUT -p tcp -m tcp --dport 4461:4665 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i ppp0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j forward_ext
-A FORWARD -i eth1 -j forward_int
-A FORWARD -j LOG --log-prefix "SuSE-FW-UNAUTHORIZED-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "SuSE-FW-FORWARD-ERROR " --log-tcp-options --log-ip-options
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j LOG --log-prefix "SuSE-FW-TRACEROUTE-ATTEMPT " --log-tcp-options --log-ip-options
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/9 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/10 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/13 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j DROP
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG --log-prefix "SuSE-FW-OUTPUT-ERROR " --log-tcp-options --log-ip-options
-A forward_dmz -s 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 80.137.86.43 -j DROP
-A forward_dmz -s 192.168.1.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 192.168.1.0/255.255.255.0 -j DROP
-A forward_dmz -d 192.168.1.99 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 192.168.1.99 -j DROP
-A forward_dmz -d 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 80.137.86.43 -j DROP
-A forward_dmz -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_dmz -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_dmz -j DROP
-A forward_ext -s 192.168.1.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_ext -s 192.168.1.0/255.255.255.0 -j DROP
-A forward_ext -d 192.168.1.99 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.1.99 -j DROP
-A forward_ext -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -s 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_int -s 80.137.86.43 -j DROP
-A forward_int -d 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_int -d 80.137.86.43 -j DROP
-A forward_int -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_int -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_int -j DROP
-A input_dmz -s 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 80.137.86.43 -j DROP
-A input_dmz -s 192.168.1.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 192.168.1.0/255.255.255.0 -j DROP
-A input_dmz -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -j DROP
-A input_dmz -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 23 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 23 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 37 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 37 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 79 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 79 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 513 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 513 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 514 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 514 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 1026 -j ACCEPT
-A input_dmz -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3130 -j ACCEPT
-A input_dmz -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3401 -j ACCEPT
-A input_dmz -s 212.185.253.70 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -s 194.25.2.129 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -p udp -m udp --dport 22 -j DROP
-A input_dmz -p udp -m udp --dport 23 -j DROP
-A input_dmz -p udp -m udp --dport 25 -j DROP
-A input_dmz -p udp -m udp --dport 37 -j DROP
-A input_dmz -p udp -m udp --dport 37 -j DROP
-A input_dmz -p udp -m udp --dport 79 -j DROP
-A input_dmz -p udp -m udp --dport 80 -j DROP
-A input_dmz -p udp -m udp --dport 110 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 137 -j DROP
-A input_dmz -p udp -m udp --dport 138 -j DROP
-A input_dmz -p udp -m udp --dport 139 -j DROP
-A input_dmz -p udp -m udp --dport 513 -j DROP
-A input_dmz -p udp -m udp --dport 514 -j DROP
-A input_dmz -p udp -m udp --dport 901 -j DROP
-A input_dmz -p udp -m udp --dport 3128 -j DROP
-A input_dmz -p udp -m udp --dport 3306 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_dmz -j DROP
-A input_ext -s 192.168.1.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_ext -s 192.168.1.0/255.255.255.0 -j DROP
-A input_ext -s 80.137.86.43 -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-ACCEPT-SOURCEQUENCH " --log-tcp-options --log-ip-options
-A input_ext -s 80.137.86.43 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -j DROP
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 22 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 23 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 23 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 37 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 37 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 79 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 79 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 513 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 513 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 514 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 514 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 1026 -j ACCEPT
-A input_ext -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3130 -j ACCEPT
-A input_ext -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3401 -j ACCEPT
-A input_ext -s 212.185.253.70 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -s 194.25.2.129 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m udp --dport 22 -j DROP
-A input_ext -p udp -m udp --dport 23 -j DROP
-A input_ext -p udp -m udp --dport 25 -j DROP
-A input_ext -p udp -m udp --dport 37 -j DROP
-A input_ext -p udp -m udp --dport 37 -j DROP
-A input_ext -p udp -m udp --dport 79 -j DROP
-A input_ext -p udp -m udp --dport 80 -j DROP
-A input_ext -p udp -m udp --dport 110 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 137 -j DROP
-A input_ext -p udp -m udp --dport 138 -j DROP
-A input_ext -p udp -m udp --dport 139 -j DROP
-A input_ext -p udp -m udp --dport 513 -j DROP
-A input_ext -p udp -m udp --dport 514 -j DROP
-A input_ext -p udp -m udp --dport 901 -j DROP
-A input_ext -p udp -m udp --dport 3128 -j DROP
-A input_ext -p udp -m udp --dport 3306 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m state --state ESTABLISHED -m udp --dport 61000:65095 -j ACCEPT
-A input_ext -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -s 80.137.86.43 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_int -s 80.137.86.43 -j DROP
-A input_int -j ACCEPT
-A input_int -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -j DROP
-A input_int -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A input_int -p tcp -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_int -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 1026 -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3130 -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3401 -j ACCEPT
-A input_int -s 212.185.253.70 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -s 194.25.2.129 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_int -j DROP
COMMIT
# Completed on Thu Feb 27 14:41:46 2003


hoffmal es ging nichts verloren....

meine güte, was für ein monster :)

also *geschluckt* hat er die regel. es kann jetzt allerdings sein, das die regel gar nicht zum zuge kommt, da die pakete schon von einer anderen regel erfaßt wurden.

hast du eigentlich in das config-file selbst auch noch was reingeschrieben?

oja ganz schön groß :D aber in die config hab ich nichts weiters geschrieben.

ich schau mir die auch nochmal genauer an *grübel* *kaffeeholt*

gruß Prophet

hi

die ausgabe von iptables-save bei meinem script liefert vielleicht ein 1/3 davon :)

starte mal die firewall neu und überprüfe dann nochmal ob du diese zeilen

-A INPUT -p tcp -m tcp --dport 4661:4665 -j DROP
-A INPUT -p tcp -m tcp --dport 4661:4665 -j DROP
-A INPUT -p tcp -m tcp --dport 4461:4665 -j DROP



dann immer noch auftauchen.

Gruß HL *kaffetrink* ;)

hi

also sie tauchen nach restart nicht wieder auf :(


gruß Prophet *nochmehrkaffetrinkt*

also sie tauchen nach restart nicht wieder auf

können sie auch nicht, war nur ein test ob du nicht doch was in die config geschrieben hast :D

tip den befehl nochmal in die konsole, jetzt aber mal mit -I (großes ieh) statt -A und schau dann nochmal nach.

iptables -I INPUT -p TCP --dport 4661:4665 -j DROP


Gruß HL

hab
iptables -I INPUT -p TCP --dport 4661:4665 -j DROP

eingebene und bei der firewall nen retstart gemacht...nun nach iptables-save finde ich den eintrag wiederrum nicht

eingebene und bei der firewall nen retstart gemacht...nun nach iptables-save finde ich den eintrag wiederrum nicht

wenn du den befehl eingegeben hast und anschließend die firewall neu gestartet hast, ist die regel auch wieder gelöscht. normalerweise baut man in seinem script regeln ein, die erstmal noch vorhandene regeln etc. flushen(löschen). das wird auch die suse firewall so handhaben.

also starte die firewall => dann den befehl => mit iptables-save überprüfen => logfiles beobachten.


also erstmal testen, ob die edonkeyanfragen auch wirklich nicht mehr in den logs auftauchen. wie man dann die rule *fest* ins script einbaut, muss man dann mal sehen.


Gruß HL

habs so gemacht :

Firewall restart -> iptables -I INPUT -p TCP --dport 4661:4665 -j DROP eingebene -> iptables-save auf die einträge überprüft und bestätigt -> logs beobachtet -> edonkey pakete noch da :/ :(

hi

hm dann geht das auf diesem wege wohl nicht. wirst du um ein eigenes script wohl nicht rum kommen ;)

hi

ja :D und wie ? :D wäre meine frage jetzt, gibts seiten wo sowas beschrieben steht ?

hi

du kannst dir auf http://www.harry.homelinux.org/ ein script nach deinen wünschen generieren lassen. allerdings ist die seite im moment down.


Gruß HL

hi

super danke :) :D

hoffentlich ist sie dann bald wieder on :cool:

Da frag ich doch auch gleich nach!!!

@HangLoose

Wie kann ich die Logmeldungen die in die Logfiles geschrieben werden auch geleichzeitig am Bildschirm beobachten.

fG Steve

moin moin

@steve-bracket

du kannst über die syslog.conf steuern, das die meldungen z.b. auf konsole 8 ausgegeben werden.

dann gibt es noch das tool root-tail, welches dir die meldungen direkt auf den desktop schreibt. hier mal ein screenshot mit root-tail => http://www.linuxforen.de/forums/attachment.php?s=&postid=369278

oben links ist root-tail in aktion. root-tail funktioniert aber nicht mit kde zusammen. zu root-tail selbst findest du hier ein HowTo => http://www.linux-user.de/ausgabe/2001/04/080-desktopia/desktopia-roottail.html


Gruß HL