Router + komische Logs

**basstscho** · 03.05.05, 18:00

Hi leute,

ich hab mir gerade mal dei Logs auf meinem Server angeschaut, dabei ist mir aufgefallen, dass die ganze Zeit in der /var/log/warn dauernd solche Meldungen kommen

Code:

May  3 18:49:37 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.7.150 DST=217.95.120.216 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=23236 DF PROTO=TCP SPT=4177 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
May  3 18:49:39 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.7.150 DST=217.95.120.216 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=23327 DF PROTO=TCP SPT=4177 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
May  3 18:50:14 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.6.61 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=16235 DF PROTO=TCP SPT=4647 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:50:17 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.6.61 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=16763 DF PROTO=TCP SPT=4647 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:50:33 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=218.166.64.59 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=57614 DF PROTO=TCP SPT=3129 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:50:34 router kernel: martian source 169.254.100.2 from 169.254.100.32, on dev eth0
May  3 18:50:34 router kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:9f:80:5e:08:06
May  3 18:50:36 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=218.166.64.59 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=57999 DF PROTO=TCP SPT=3129 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:51:19 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=64.136.202.50 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25381 DF PROTO=TCP SPT=4656 DPT=6349 WINDOW=64240 RES=0x00 SYN URGP=36077 OPT (020405B401010402)
May  3 18:51:21 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.59.97 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=6891 DF PROTO=TCP SPT=2480 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:51:28 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=64.136.202.50 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=29702 DF PROTO=TCP SPT=4656 DPT=6349 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
May  3 18:53:26 router kernel: martian source 169.254.100.2 from 169.254.100.32, on dev eth0
May  3 18:53:26 router kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:9f:80:5e:08:06

Was bedeuten denn die? hab ich was falsch konfiguriert? Wenn ja, wie bekomme ich dat weg..das sind ja jede minute welche!

in meiner /var/log/messages wird das geschrieben:

Code:

May  3 18:57:01 router /usr/sbin/cron[14824]: (root) CMD ( ping -c 1 web.de >> /dev/null )
May  3 18:57:38 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.11.238 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=38387 DF PROTO=TCP SPT=4122 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:57:39 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=210.213.143.19 DST=217.95.120.216 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=60208 PROTO=UDP SPT=62645 DPT=137 LEN=58
May  3 18:57:41 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.11.238 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=38690 DF PROTO=TCP SPT=4122 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:57:53 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.114.228 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=55692 DF PROTO=TCP SPT=4372 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
May  3 18:57:58 router kernel: martian source 169.254.255.255 from 169.254.100.32, on dev eth0
May  3 18:57:58 router kernel: ll header: ff:ff:ff:ff:ff:ff:00:01:02:9f:80:5e:08:00
May  3 18:58:01 router /usr/sbin/cron[14839]: (root) CMD ( ping -c 1 web.de >> /dev/null )
May  3 18:58:22 router kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=217.95.120.139 DST=217.95.120.216 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=21217 DF PROTO=TCP SPT=1627 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204059201010402)

Was mich dabei besonderst interessieren würde, wie ich die cron-logs wegbekomme...ich lasse immer weider auf web.de pingen, dass meine Leitung online bleibt!

Danke, Grüße Johannes

**cane** · 03.05.05, 22:40

Die Logs stammen von einem installierten Firewall-Script auf Basis von Iptables.

mfg
cane

**basstscho** · 04.05.05, 05:42

Hallo,

ist das normal? Nein oder? Wie bekomm ich dat weg?

Grüße Johannes

**Schmolleg** · 04.05.05, 06:55

Poste mal deinen iptables script. In dem kannst du ausschalten das er logs schreibt. Das ist ganz normal wenn du das loggen nicht aus hast.

**cane** · 04.05.05, 07:11

Zitat von basstscho

Hallo,

ist das normal? Nein oder? Wie bekomm ich dat weg?

Grüße Johannes

Natürlich ist es normal - vergleiche es mit einer Videoüberwachung - wenn diese nichts aufzeichnet wäre sie zwecklos...

Ich würde das Iptables-Script weiterloggen lassen um im Falle eines kompromittierten Systems auf die Ursache schließen zu können.

Warum willst Du das Logging überhaupt ausschalten - ist deine Platte so klein?

mfg
cane

**basstscho** · 05.05.05, 09:19

IPtables? Ich benutze eigentlich keine iptables! Ich möchte es deshalb weghaben, da vor lauter "spamming" kein platz mehr für die wichtigen sachen bleibt. Also ausschalten möchte ich:
Cron-log und das iptables zeugs in dem fall...

Grüße Johannes

**cane** · 05.05.05, 12:55

Zitat von basstscho

IPtables? Ich benutze eigentlich keine iptables!

Eigentlich ist ein Wort das im Bereich IT-Security geächtet ist

Tu doch einfach was Dir Schmolleg rät und poste dein Iptables-Script...

Wenn Du nicht weißt wo Du es findest hilft eine Google Suche oder ein 'locate iptables' und 'locate firewall' weiter...

mfg
cane