Komische Syslog einträge


#1
Hallo liebe User

habe in der syslog ununterbrochen folgenden eintrag stehen
Code:
kernel: AIF:PRIV connect attempt: IN=eth0 OUT= MAC=00:24:8c:9e:90:0a:5c:5e:ab:7e:40:81:08:00 SRC=208.98.24.67 DST=85.25.147.127 LEN=64 TOS=0x10 PREC=0x00 TTL=233 ID=13067 PROTO=UDP SPT=25345 DPT=53 LEN=44
Da versucht jemand über udp zu connecten arno-iptable-firewall ist an und konfiguriert
was kann man machen was heißt das log genau
 
Zuletzt bearbeitet:

Bratkartoffel

gebratene Kartoffel
Premium-User
#2
Hi,

an und für sich ja nichts schlimmes, du empfängst nur ein UDP-Paket. Wofür hast du eigentlich die Firewall installiert? Was willst du mit dieser Filtern?

Grüße,
BK
 

Bratkartoffel

gebratene Kartoffel
Premium-User
#4
Hi,

Ein bisschen Off-Topic:
Wiso filterst du ports, auf denen sowiso kein Programm läuft?

Worauf ich raus will: So Firewalls machen auf Servern (vorallem im Linux Umfeld) meiner Meinung nach mehr Probleme als dass sie helfen. Wozu auch Ports filtern? Alle normalen Programme / Dienst kanns du einstellen, welche Ports offensind und meistens auch kontrollieren ob diese nur per localhost oder auch von aussen erreichbar sind.
Eine feinere Aufteilung / Regelung wird in den meisten Fällen nicht benötigt, und falls doch, lässt sich das dann im Dienst über Zugriffsregeln einstellen.

Angriffe auf geschlossene Ports gibt es nicht. Wo nichts ist, kann man auch nicht rein. Richtige Angriffe laufen auf Dienste, die so oder so von aussen erreichbar sein müssen. Die meisten halt auf SSH, FTP oder MySQL. Und genau hier bringt dir eine Firewall auch nichts, ausser du arbeits mit Deep-Packet-Inspection, was aber meiner Erfahrung nach oftmals einfach zu aufwendig ist und nicht das gewünschte Kosten / Nutzen Ergebnis bringt.

Ok, genug gelästert, zurück zum Thema.

Ich kann mit der Logausgabe nichts anfangen, bzw. sehe nicht auf welchen Port das Paket geschickt wird. Wenn du einen DNS-Server (z.b. für Webseiten) laufen hast, dann musst du UDP zum Beispiel für Port 53 komplett freigeben. Könnte sein, dass hier ein Client eine Anfrage zu deinem Server schickt und diese ins Nirvana läuft. Schau am Besten mal nach in der Dokumentation / Manpage zu der Firewall, wie du aus dem Log den Ziel-Port erfährst.

Wenn du weißt, für welchen Port das Paket war, kannst du erkennen, für welchen Dienst das Paket war. Ein Tip ist auch noch NTP, sofern du deinen Server als Zeitserver verwendest oder im NTP-Pool Projekt eingetragen hast.

// Edit:
Ok, der Teil mit DPT ist der Empfänger-Port, an den das Paket geschickt wurde. Port 53 ist DNS, hier wollte jemand eine DNS Anfrage von deinem Server auflösen lassen.

Grüße,
BK
 
Zuletzt bearbeitet:

Bratkartoffel

gebratene Kartoffel
Premium-User
#6
Hi,

mein Edit oben:
Ok, der Teil mit DPT ist der Empfänger-Port, an den das Paket geschickt wurde. Port 53 ist DNS, hier wollte jemand eine DNS Anfrage von deinem Server auflösen lassen. Betreibst du einen Domainserver für deine Webseite?

Genau das, was du geschrieben hast, ist der Standard auch ohne Firewall.

Grüße,
BK