kernel: DROP UNMATCHED

[Apollo013]

Ich bekomme in meine Logs ständig kernel: bla bla DROP UNMATCHED bla bla bla.

Code: Alles auswählen

kernel: [58090.341543] DROP UNMATCHED IN-world4:IN=eth0 OUT= MAC=96:00:02:80:98:9c:d2:74:7f:6e:37:e3:08:00 SRC=159.75.229.225 DST=142.132.182.86 LEN=40 TOS=0x08 PREC=0x00 TTL=42 ID=33925 PROTO=TCP SPT=27245 DPT=23 WINDOW=5149 RES=0x00 SYN URGP=0

Wie kann ich die Logs Ausgabe anpassen, dass es nicht erscheint?
LG

[debilian]

Du könntest die Firewall abschalten.

[MSfree]

Du könntest die Firewall abschalten.

Um sich dann aus China (SRC=159.75.229.225) via telnet (DPT=23) hacken zu lassen?

[debilian]

naja, wenn er solch ein großen Problem mit den Meldungen im Log hat.....



interessant wäre auch, was ist das für ein Rechner, lokal oder ein Server im Netz......

[MSfree]

interessant wäre auch, was ist das für ein Rechner, lokal oder ein Server im Netz......

Das ist ein global aus aller Welt erreichbarer Rechner (DST=142.132.182.86), der hier in Deutschland steht. Kann man mit nslookup und geoiplookup auch selbst herausfinden.

Ich wüßte jetzt auch nicht, was an der Meldung so störend ist. Bei mir trudeln solche oder ähnliche Meldungen im Sekundentakt ins Syslog. Mich beruhigen solche Meldungen, denn sie bestätigen, daß meine Firewill das abwehrt, was sie abwehren soll.

[mat6937]

Wie kann ich die Logs Ausgabe anpassen, ...

Wie ist die Firewall die Du hier benutzt, "zustande gekommen" bzw. konfiguriert worden?

[debilian]

Das ist ein global aus aller Welt erreichbarer Rechner (DST=142.132.182.86), der hier in Deutschland steht. Kann man mit nslookup und geoiplookup auch selbst herausfinden.

klar hätte ich das tun können, doch der TE möchte doch was wissen, da könnte er auch einfach schreiben,
worum es geht.

[Apollo013]

Das ist ein Server bei Hetzner, es geht mir darum das ich die Server Logs per E-Mail bekommen.
Es wäre besser lesbar für mich. Gibt es keinen Filter für das senden Logs an meine E-Mail-Adresse?

LG

[MSfree]

Du willst Logs, um über den Zustand und Angriffe auf deinen Server informiert zu werden.
Du willst aber bestimmte Angriffe auf die Maschine nicht angezeigt bekommen.

Grundsätzlich kann man iptables und nftable natürlich angeben, was gelogt werden soll. Aber dieser spezielle Fall, der irgenwann in der Zukunft wichtig werden könnte, soll jetzt nicht gelogt werden. Logge bitte nicht, wenn jemand versucht, die Tür aufzubrechen.

Wie gesagt, man kann es abstellen, sinnvoll ist es aber in diesem Fall nicht.

Für mich klingt das nach wasch mich aber mach mich nicht naß.

[Apollo013]

Danke dir MSfree,

wie gesagt, das war mein Plan, das scrollen, durchstöbern von Logs ist mühsam. Da ich zurzeit auf dem Server ein paar Sachen teste, wollte ich die sogenannten Spamlogs mal ausblenden.
Ich kann das so lassen. Wollte mal wiesen, ob Ausblenden von solchen Einträgen in den Logs, was an E-Mail gesendet werden geht.

LG

[debilian]

Code: Alles auswählen

tail

und

Code: Alles auswählen

grep

sollten deine Freunde werden in Bezug auf Logs.....

Logs guck ich mir, in den seltesten Fällen, pur, an.

[MSfree]

Logs mit dem Emailprogramm durchzuforsten, ist natürlich alles andere als sinnvoll.

Wenn du das Log, das du per Mail bekommen hast, als Datei speicherst, kannst du diese Datei z.B. mit grep filtern:

Code: Alles auswählen

grep -v "DROP UNMATCHED" <Logdateiname>

würde nur die Zeilen ausgeben, die DROP UNMATCHED nicht enthalten.

Oder mit

Code: Alles auswählen

grep "DPT=23" <Logdateiname>

würden nur die Zeilen ausgegeben, die DPT=23 enthalten, was Verbindungsversuche auf Port 23 sind, also den telnet-Port ausprobieren wollen.