Sytem Log

Roland Wolters rolandwolters at web.de
Fri Dec 19 00:14:37 UTC 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am Donnerstag, 18. Dezember 2003 17:42 schrieb Sebastian Stupnicki:
> seit paar Tagen in /var/log/messages ist eine (fuer mich)
> unverstaendliche Meldung zu sehen :
>
> Dec 15 13:48:51 localhost kernel: IN=eth0 OUT=
> MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72
> DST=192.168.0.119 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6375 PROTO=TCP
> SPT=4662 DPT=52805 WINDOW=0 RES=0x00 ACK RST URGP=0
[snip]
> wie es sich erkennen laesst erscheint die Meldung fast jede Sekunde.
> Weiss jemand was er mir sagen will bzw. was soll ich an System aendern
> damit jene Meldung nicht mehr auftaucht?
> 

Du brauchst nie solange Logs schreiben, um eine Diskussion einzuleiten, wenn 
es eh nur das gleiche ist....
Aber zur Sache.
Es geht hier um Pakete, die deinem Kernel auffallen, wenn ich alles richtig 
lese, Netzwerkpakete.
Die erste Vermutung wäre, dass du IPTABLES laufen lässt (also irgendeine Art 
von Routing oder Paketfilterung ("Firewalling"), was diese Ergebnisse 
ausspuckt.
Interessant ist, dass die Quelle (SRC) vermutlich deiner echten IP entspricht, 
das merkwürdige Ziel (DST) dürfte dann ein anderer Rechner im Netzwerk sein.
Mal ein Schuss ins blaue, als zweite Idee: 
Du gehst über ein lokales Netzwerk ins Internet, der beschriebene Rechner, der 
diese Meldungen ausspuckt, ist ein Router, der anderen den Netzzugang 
ermögicht - auf jedem Fall hat er zwei IP Adressen (einmal die der Telekom, 
also hier SRC, einmal die lokale, hier DST 192.168.0.119 (ist xxx.xxx.0.xxx 
eigentlich erlaubt?! Ich dachte, das geht erst bei 1 los!)).
Jetzt versucht der Rechner über die Internet-Schnittstelle was an die lokale 
Adresse 192.168.0.119 zu schicken, was logischerweise fehlschlagen muss, da 
es verboten ist (RFC weiss ich gerade nicht auswendig), da es eine lokale 
Adresse ist, die nur im lokalen Adressraum genutzt werden darf.
Das gibt diese Meldung.

Also: einmal gucken, ob es Auffälligkeiten beim Paketfilter untersuchen (so 
fern der vorhanden ist), und einmal gucken, ob es Prozesse gibt, die sinnlose 
Pakete verschicken.

> Ach ja, noch was, es laesst sich kaum mit der Konsole ( also ohne X )
> arbeiten da der ganze Bildschirm ploezlich voll von diese Meldung
> bedeckt wird.
> 
Verwirrend, dass diese Fehlermeldungen direkt auf die Konsole geschrieben 
werden, das müsste man umleiten in eine Datei - Iptables müsste sich 
entsprechend konfigurieren lassen.

> Gruss
> Sebastian

Roland
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/4kL1nsVHlKAJG/IRAgcvAJ9gGMqCiRZYNEjIGr9MFcIdZFg7ggCfSowx
5v0NsUHGbzxeGcWAu/GFGyE=
=1FSy
-----END PGP SIGNATURE-----

More information about the de-users mailing list