Was bedeuten die Einträge im Firewall-Protokoll?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
linuxfandebian
Beiträge: 61
Registriert: 13.09.2010 17:19:19
Lizenz eigener Beiträge: MIT Lizenz

Was bedeuten die Einträge im Firewall-Protokoll?

Beitrag von linuxfandebian » 07.12.2011 14:31:33

das Protokoll der Firewall beinhaltet folgende Einträge:

Code: Alles auswählen

Dec 07 14:09:05 ** Starting Arno's Iptables Firewall v1.9.2k **
Dec 07 14:09:06 ** All firewall rules applied **
Dec  7 14:11:08 debian kernel: [  131.573397] AIF:UNPRIV connect attempt: IN=eth0 OUT= MAC= SRC=192.168.2.100 DST=224.0.0.251 LEN=229 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=209 
Dec  7 14:11:08 debian kernel: [  131.600538] AIF:UNPRIV connect attempt: IN=eth0 OUT= MAC= SRC=192.168.2.100 DST=224.0.0.251 LEN=141 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=121 
Dec  7 14:11:10 debian kernel: [  133.552597] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=8 PROTO=2 
Dec  7 14:11:45 debian kernel: [  168.544429] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=9 PROTO=2 
Dec  7 14:12:20 debian kernel: [  203.536124] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=10 PROTO=2 
Dec  7 14:12:31 debian kernel: [  214.799158] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=215 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:12:31 debian kernel: [  214.809027] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=216 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:12:55 debian kernel: [  238.527858] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=11 PROTO=2 
Dec  7 14:13:30 debian kernel: [  273.519545] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=12 PROTO=2 
Dec  7 14:14:05 debian kernel: [  308.511386] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=13 PROTO=2 
Dec  7 14:14:40 debian kernel: [  343.503459] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=14 PROTO=2 
Dec  7 14:15:15 debian kernel: [  378.495270] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=15 PROTO=2 
Dec  7 14:15:31 debian kernel: [  394.713361] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=418 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:15:31 debian kernel: [  394.723324] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=419 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:15:50 debian kernel: [  413.487000] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=16 PROTO=2 
Dec  7 14:16:25 debian kernel: [  448.478954] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=17 PROTO=2 
Dec  7 14:17:35 debian kernel: [  518.463316] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=19 PROTO=2 
Dec  7 14:18:31 debian kernel: [  574.628280] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=723 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:18:31 debian kernel: [  574.638303] AIF:PRIV connect attempt: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=192.168.2.255 LEN=257 TOS=0x00 PREC=0x00 TTL=64 ID=724 PROTO=UDP SPT=138 DPT=138 LEN=237 
Dec  7 14:18:45 debian kernel: [  588.446772] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=21 PROTO=2 
Dec  7 14:19:20 debian kernel: [  623.438647] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=22 PROTO=2 
Dec  7 14:20:30 debian kernel: [  693.422253] AIF:Connect attempt: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:26:4d:dd:93:c4:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=24 PROTO=2
Was haben diese Einträge zu bedeuten?
debian bookworm 6.1.0-21-amd64 lxde
Nach oben
Benutzeravatar
tschaefer
Beiträge: 138
Registriert: 03.09.2004 09:51:48
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Garmisch-Partenkirchen, Germany
Kontaktdaten:

Re: Was bedeuten die Einträge im Firewall-Protokoll?

Beitrag von tschaefer » 07.12.2011 21:50:42

Hi,

Das ein Protokoll / Dienst namens AIF von Adresse 192.168.2.100 einen Multicast an Adresse 224.0.0.1 loswerden möchte.

Gruß

Tobias
Debian bullseye
dwm-6.4
Linux bullseye 6.12.9+bpo-amd64
CPU AMD Ryzen 7 5700U
Memory total 24576M
Screenshot: http://sau.frubar.net/39339
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Re: Was bedeuten die Einträge im Firewall-Protokoll?

Beitrag von nepos » 08.12.2011 08:31:26

Das Protokoll ist IGMP btw.
Nach oben
linuxfandebian
Beiträge: 61
Registriert: 13.09.2010 17:19:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Was bedeuten die Einträge im Firewall-Protokoll?

Beitrag von linuxfandebian » 08.12.2011 21:36:18

Hallo!

Danke für die Antworten. Das hat mir gut weitergeholfen.

Die IP 192.168.2.1 bis 192.168.2.255 sind vom DSL-Router (Speedport W504V - Deutsche Telekom). Auch wenn kein DSL angeschlossen ist - also nur ne LAN-Verbindung zwischen PC und DSL-Router besteht, kommen diese Verbindungsanfragen.

So wie ich das Protokoll interpretiere sind diese Verbindungen für die Firewall ungültig und werden blockiert?

Müsste ich ggf. am DSL-Router eine Konfigurationsänderung vornehmen, damit diese Verbindungsversuche aufhören oder sind diese für etwas wichtig und die Firewall blockiert sie vielleicht unnötig?

Viele Grüße

linuxfandebian
debian bookworm 6.1.0-21-amd64 lxde
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Was bedeuten die Einträge im Firewall-Protokoll?

Beitrag von Cae » 08.12.2011 22:54:00

linuxfandebian hat geschrieben:Die IP 192.168.2.1 bis 192.168.2.255
BEEEP! off by one: .255/24 ist die Broadcast-Adresse, die letzte Adresse dieses Netzes ist die 192.168.2.254.

Zur eigentlichen Frage: IGMP ist ein Protokoll, um Multicast-Gruppen zu organisieren. Die sind dafür da, etwa das Streaming eines Servers ohne zusätzliche Last an viele Clients weiterzugeben, der zusätzliche Traffic fällt bei den entsprechenden Routern an. Jeder Router auf der Strecke muss damit etwas anfangen können, NAT, wie es dein "DSL-Router" sehr wahrscheinlich einsetzt, verkompliziert die Sache nochmal heftig.

Du könntest mal mit Wireshark/tcpdump/ngrep mitschneiden, wer da herumspammt, anhand der MAC-Adresse den Täter finden und umkonfigurieren.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
Antworten

Zurück zu „Netzwerk“