Sytem Log
Roland Wolters
rolandwolters at web.de
Fri Dec 19 00:14:37 UTC 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Am Donnerstag, 18. Dezember 2003 17:42 schrieb Sebastian Stupnicki:
> seit paar Tagen in /var/log/messages ist eine (fuer mich)
> unverstaendliche Meldung zu sehen :
>
> Dec 15 13:48:51 localhost kernel: IN=eth0 OUT=
> MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72
> DST=192.168.0.119 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6375 PROTO=TCP
> SPT=4662 DPT=52805 WINDOW=0 RES=0x00 ACK RST URGP=0
[snip]
> wie es sich erkennen laesst erscheint die Meldung fast jede Sekunde.
> Weiss jemand was er mir sagen will bzw. was soll ich an System aendern
> damit jene Meldung nicht mehr auftaucht?
>
Du brauchst nie solange Logs schreiben, um eine Diskussion einzuleiten, wenn
es eh nur das gleiche ist....
Aber zur Sache.
Es geht hier um Pakete, die deinem Kernel auffallen, wenn ich alles richtig
lese, Netzwerkpakete.
Die erste Vermutung wäre, dass du IPTABLES laufen lässt (also irgendeine Art
von Routing oder Paketfilterung ("Firewalling"), was diese Ergebnisse
ausspuckt.
Interessant ist, dass die Quelle (SRC) vermutlich deiner echten IP entspricht,
das merkwürdige Ziel (DST) dürfte dann ein anderer Rechner im Netzwerk sein.
Mal ein Schuss ins blaue, als zweite Idee:
Du gehst über ein lokales Netzwerk ins Internet, der beschriebene Rechner, der
diese Meldungen ausspuckt, ist ein Router, der anderen den Netzzugang
ermögicht - auf jedem Fall hat er zwei IP Adressen (einmal die der Telekom,
also hier SRC, einmal die lokale, hier DST 192.168.0.119 (ist xxx.xxx.0.xxx
eigentlich erlaubt?! Ich dachte, das geht erst bei 1 los!)).
Jetzt versucht der Rechner über die Internet-Schnittstelle was an die lokale
Adresse 192.168.0.119 zu schicken, was logischerweise fehlschlagen muss, da
es verboten ist (RFC weiss ich gerade nicht auswendig), da es eine lokale
Adresse ist, die nur im lokalen Adressraum genutzt werden darf.
Das gibt diese Meldung.
Also: einmal gucken, ob es Auffälligkeiten beim Paketfilter untersuchen (so
fern der vorhanden ist), und einmal gucken, ob es Prozesse gibt, die sinnlose
Pakete verschicken.
> Ach ja, noch was, es laesst sich kaum mit der Konsole ( also ohne X )
> arbeiten da der ganze Bildschirm ploezlich voll von diese Meldung
> bedeckt wird.
>
Verwirrend, dass diese Fehlermeldungen direkt auf die Konsole geschrieben
werden, das müsste man umleiten in eine Datei - Iptables müsste sich
entsprechend konfigurieren lassen.
> Gruss
> Sebastian
Roland
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
iD8DBQE/4kL1nsVHlKAJG/IRAgcvAJ9gGMqCiRZYNEjIGr9MFcIdZFg7ggCfSowx
5v0NsUHGbzxeGcWAu/GFGyE=
=1FSy
-----END PGP SIGNATURE-----
More information about the de-users
mailing list