[Frage] Iptables Syslog Meldung

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

sharbich

Neuer User
Mitglied seit
30 Aug 2012
Beiträge
181
Punkte für Reaktionen
2
Punkte
18
Hallo Ihr Lieben,

ich habe im Syslog folgende Meldung:
Code: 
Jul 12 00:10:50 rome01 kernel: [IPT] DENY-PRR-ACCESS IN=lan OUT= PHYSIN=eth0 MAC=bc:05:43:9c:8b:ba:00:23:a2:89:17:76:08:00:45:60:00:4c:52:9e:00:00:80:11:f7:b1:c0:a8:b2:19:d9:06:a4:28:04:07:00:7b:00:38:12:df:23:00:04:fa:00:00:11:ac:00:00:09:67 SRC=192.168.178
Ich vermute das es sich hier um Zugriffsversuche von aussen nach innen handelt die über ipv6 kommen? Ggf. habe ich auf meiner Box noch ipv6 Dienste am laufen?
Meine MAC von der Fritzbox lautet wie folgt:
Code: 
lan:0     Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA
Habt Ihr noch ein Rat für mich? Die Meldungen nerven ein wenig. Vorweg herzlichen Dank für Eure Unterstützung und verbleibe mit . . .
Lieben Gruß von Stefan Harbich
 
Die MAC Adresse ist viel zu lang, dafür scheint der Eintrag hinten abgeschnitten zu sein. Wie lautet der vollständige Eintrag?
 
Hallo,

ich bekomme im Syslog nur diese Ausgabe:
Code: 
Jul 12 12:51:31 rome01 kernel: [IPT] DENY-PRR-ACCESS IN=lan OUT= PHYSIN=ath0 MAC=bc:05:43:9c:8b:ba:00:1c:bf:4a:82:35:08:00:45:00:00:34:05:7e:40:00:80:06:da:c7:c0:a8:b2:21:4f:6e:58:46:c0:7c:2a:3f:b8:6d:e7:33:00:00:00:00:80:02:ff:ff:ca:38:00:00 SRC=192.168.178
Jul 12 12:51:32 rome01 kernel: [IPT] DENY-PRR-ACCESS IN=lan OUT= PHYSIN=eth0 MAC=01:00:5e:7f:ff:fa:00:25:90:d6:60:c7:08:00:45:00:00:c9:35:3f:40:00:04:11:de:38:c0:a8:b2:09:ef:ff:ff:fa:04:3d:07:6c:00:b5:87:b8:4d:2d:53:45:41:52:43:48:20:2a:20:48 SRC=192.168.178
Jul 12 12:51:33 rome01 kernel: [IPT] DENY-PRR-ACCESS IN=lan OUT= PHYSIN=eth0 MAC=bc:05:43:9c:8b:ba:00:25:90:d6:60:c7:08:00:45:00:00:50:90:4e:00:00:40:11:73:7b:c0:a8:b2:09:d9:00:2b:21:41:2c:00:35:00:3c:4f:d3:18:20:01:00:00:01:00:00:00:00:00:01 SRC=192.168.178
Beim kopieren habe ich nichts abgeschnitten.

Lieben Gruß von Stefan Harbich
 
Hallo,

ich füge Euch mal die ifconfig meines Router bei:
Code: 
adsl      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:2000  Metric:1
          RX packets:611022 errors:0 dropped:0 overruns:0 frame:0
          TX packets:546805 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32 
          RX bytes:847173465 (807.9 MiB)  TX bytes:57751601 (55.0 MiB)

ath0      Link encap:Ethernet  HWaddr BC:05:43:9C:8B:C0  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:462327 errors:0 dropped:0 overruns:0 frame:0
          TX packets:549015 errors:0 dropped:70 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:25790357 (24.5 MiB)  TX bytes:744921058 (710.4 MiB)

ath1      Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BC  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49840 errors:0 dropped:30 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:10789780 (10.2 MiB)

cpmac0    Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:155938 errors:0 dropped:0 overruns:0 frame:0
          TX packets:136966 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:34882581 (33.2 MiB)  TX bytes:102307815 (97.5 MiB)
          Interrupt:14 

dsl       Link encap:Point-to-Point Protocol  
          inet addr:192.168.178.1  P-t-P:192.168.178.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:558095 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45071 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:781237622 (745.0 MiB)  TX bytes:14132668 (13.4 MiB)

eth0      Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:155938 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98921 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128 
          RX bytes:32699449 (31.1 MiB)  TX bytes:60008734 (57.2 MiB)

eth0:1    Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          inet addr:192.168.178.10  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

guest     Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          inet addr:192.168.179.1  Bcast:192.168.179.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:600 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:30076 (29.3 KiB)

lan       Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          inet addr:192.168.178.1  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:616606 errors:0 dropped:0 overruns:0 frame:0
          TX packets:584648 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:51761160 (49.3 MiB)  TX bytes:791700677 (755.0 MiB)

lan:0     Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BA  
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2140 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2140 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:165859 (161.9 KiB)  TX bytes:165859 (161.9 KiB)

wdsdw2    Link encap:Ethernet  HWaddr BC:05:43:9C:8B:C0  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:23 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wdsdw3    Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BC  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:18 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wifi0     Link encap:Ethernet  HWaddr BC:05:43:9C:8B:BC  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:76521 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1617 (1.5 KiB)  TX bytes:13899886 (13.2 MiB)
          Interrupt:25 Memory:ba000000-ba010000 

wifi1     Link encap:Ethernet  HWaddr BC:05:43:9C:8B:C0  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:789621 errors:0 dropped:0 overruns:0 frame:22579
          TX packets:580167 errors:1218 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:125428825 (119.6 MiB)  TX bytes:768869884 (733.2 MiB)
          Interrupt:25 Memory:ba010000-ba020000
ggf. könnt Ihr ja damit was anfangen?

Lieben Gruß von Stefan Harbich
 
Hallo,

wie folgt:
Code: 
Chain INPUT (policy DROP 2 packets, 628 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   51  4156 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.1       multiport dports 443,1194 
    0     0 ACCEPT     tcp  --  lan    *       192.168.178.1        0.0.0.0/0           tcp spt:1900 dpt:1900 
 1026  462K ACCEPT     udp  --  dsl    *       217.0.0.0/13         192.168.178.1       multiport dports 3478,5060,7078:7083 
 4536 2597K ACCEPT     udp  --  *      *       0.0.0.0              255.255.255.255     udp spt:68 dpt:67 
 1632  109K ACCEPT     all  --  *      *       127.0.0.1            127.0.0.1           
73783   13M ACCEPT     all  --  *      *       192.168.178.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       192.168.200.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  lan    *       169.254.0.0/16       0.0.0.0/0           
  728 26208 ACCEPT     all  --  dsl    *       91.40.255.254        224.0.0.1           
 7674 4702K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    9  2445 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-FRITZ-ACCESS ' 
    9  2445 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 20 packets, 3060 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 237K   49M ACCEPT     all  --  lan    lan     0.0.0.0/0            0.0.0.0/0           
 717K  804M TRANS      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-FWD-ACCESS ' 

Chain OUTPUT (policy DROP 319 packets, 34242 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1026  838K ACCEPT     udp  --  *      dsl     192.168.178.1        217.0.0.0/13        multiport sports 3478,3479,5060,7078:7090,30000:31000,40000:41000 
 3474  215K ACCEPT     tcp  --  *      dsl     192.168.178.1        0.0.0.0/0           multiport dports 25,80,110,443 
30138 6974K ACCEPT     all  --  *      *       0.0.0.0/0            192.168.178.0/24    
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.178.200.0/24    
 1366 49256 ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/24        
  825  300K ACCEPT     all  --  *      *       0.0.0.0/0            239.255.255.250     
 1632  109K ACCEPT     all  --  *      *       0.0.0.0/0            127.0.0.1           
 3258  241K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 53,123,5060 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            63.208.196.0/24     tcp dpt:80 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            208.73.211.70       
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            212.42.244.73       tcp dpt:80 
  150 17775 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  299 29433 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] WARNING-CALL-HOME ' 

Chain TRANS (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       192.168.178.1        0.0.0.0/0           multiport dports 20,21,22,25,80,110,465,995,5060 
    0     0 ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.9       tcp dpt:1194 
 514K  753M ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.0/24    multiport sports 80,443 
  170 12635 ACCEPT     tcp  --  lan    dsl     192.168.178.0/24     0.0.0.0/0           multiport dports 465,4015,5223,12350 
    0     0 ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.25      tcp spt:80 
11069  896K ACCEPT     tcp  --  *      dsl     192.168.178.0/24     0.0.0.0/0           multiport dports 80,110,443,993,995,5228 
30383   12M ACCEPT     udp  --  *      *       192.168.178.0/24     0.0.0.0/0           
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.20       0.0.0.0/0           tcp dpt:587 
    0     0 ACCEPT     all  --  *      *       192.168.200.0/24     0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0              255.255.255.255     udp spt:68 dpt:67 
    1   107 ACCEPT     icmp --  *      *       192.168.178.0/24     0.0.0.0/0           
  253 12128 ACCEPT     tcp  --  *      *       192.168.178.33       0.0.0.0/0           
 161K   37M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  115  6840 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-LAN-ACCESS ' 
  115  6840 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Ich hoffe das Du mir weiterhelfen kannst?

Lieben Gruß von Stefan Harbich
 
Oben steht "[IPT] DENY-PRR-ACCESS" Das müsste von einer Regel kommen mit LOG und entsprechendem Prefix. Diese gibt es aber in der Ausgabe nicht.

Es wäre prinzipiell noch möglich, dass dies in einer Regel in den Tabellen nat oder mangle steht, aber es ist nicht üblich, dort Regeln unterzubringen, die etwas sperren. Schau trotzdem mal in den Tabellen nach, ob dort eine entsprechende Regel steht.
 
Hallo Ihr Lieben,

ja ich habe das Freetz Image selber kompiliert.
Code: 
Firmware-Informationen
Boxtyp    7390
AVM-Firmwareversion    04.91
Sprache    de
Kernelversion    2.6.19.2 () (gcc version 3.4.6) 
Freetz-Version    freetz-1.2-stable
Erstellungsdatum    17.02.2014 15:56:14
Ursprünglicher Dateiname    7390_04.91freetz-1.2-stable.de_20140217-155614.image
Unter nat habe ich folgende Regel gefunden:
Code: 
iptables -t nat -R PREROUTING 10  -j LOG --log-prefix '[IPT] DENY-PRR-ACCESS '
Ich hoffe das Ihr mir weiterhelfen könnt?

Lieben Gruß von Stefan Harbich
 
Die obige Meldung bewirkt den Log Eintrag, sofern es nicht noch andere Regeln mit diesem Prefix gibt. Ohne Zusammenhang kann man aber nicht sagen, wann diese Regel ausgeführt wird.

Wie sieht denn der Rest aus?
Code: 
iptable -t nat -vnL
 
Hallo,

folgende Regeln werden aufgelistet:

Code: 
Chain PREROUTING (policy ACCEPT 58121 packets, 7726K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  lan    *       0.0.0.0/0            192.168.178.1       tcp dpt:1194 
   39  1908 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.1       tcp dpt:443 
    0     0 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.9       tcp dpt:1194 
    0     0 DNAT       udp  --  dsl    *       0.0.0.0/0            0.0.0.0/0           udp dpt:3478 to:192.168.178.1 
    0     0 DNAT       udp  --  dsl    *       0.0.0.0/0            0.0.0.0/0           udp dpt:5070 to:192.168.178.1 
    0     0 DNAT       udp  --  dsl    *       0.0.0.0/0            0.0.0.0/0           udp dpt:5080 to:192.168.178.1 
    0     0 DNAT       udp  --  dsl    *       0.0.0.0/0            0.0.0.0/0           multiport dports 30000:31000 to:192.168.178.1 
    0     0 DNAT       udp  --  dsl    *       0.0.0.0/0            0.0.0.0/0           multiport dports 30000:31000 to:192.168.178.1 
    0     0 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.20      tcp spt:443 
58083 7724K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-PRR-ACCESS ' 

Chain POSTROUTING (policy ACCEPT 107K packets, 15M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 54514 packets, 7680K bytes)
 pkts bytes target     prot opt in     out     source               destination
Lieben Gruß von Stefan Harbich
 
Poste bitte mal den kompletten Satz der Regeln, Teile, die Dir "privat" erscheinen, kannst Du durch ein "*" ersetzen:
Code: 
iptables -S
Wie Du in Deinem Log erkennen kannst, kommt der Zugriffsversuch aus Deinem LAN:
Code: 
...IN=lan..
Das passiert bspw., wenn bei einem PC (Windows 7) IPv6 in den Einstellungen der Ethernet-Karte nicht deaktiviert ist.
 
sharbich schrieb:
folgende Regeln werden aufgelistet:
Zum Vergrößern anklicken....

Hast Du diese Regeln selbst erstellt oder irgendwo abgeschrieben?

Die Log Regel wird für alle Pakete angesprochen, bei denen nicht eine der Regeln vorher greift. Wie man an den Zahlen sieht, wird von den Regeln vorher kaum eine überhaupt angewendet, die meisten Pakete landen daher auf der Log Regel, und werden durchgelassen, im Gegensatz zu dem, was man aus dem DENY Prefix vermuten könnte.

Was sollten die Regeln überhaupt bewirken? Die DNAT Regeln haben alle 192.168.178.1 als Ziel, was vermutlich die Adresse der Box selbst ist. ACCEPT ist sowieso Standard, damit wird nur das Log verhindert.

@JohnDoe42
iptables -S bringt auch nicht mehr Informationen, eher weniger. Die filter Tabelle ist schon in #6 zu sehen. Die Meldung kommt aber nicht aus der filter Tabelle, sondern aus der nat Tabelle.

Es stimmt allerdings, dass die Einträge von Paketen aus dem internen Netz kommen. Pakete von Außen würde die AVM Firewall vermutlich erst gar nicht soweit durch lassen.
 
Hallo,
ich habe die Regeln selbst geschrieben bzw. übernommen. Port 1194, 443 gesicherte Verbindung zum Debian Server und der Fritz Box. Die restlichen Port's gehören zur Fritz Box wegen VOIP.

Komisch ist nur das ich keine Hit Counts auf die Regeln habe?

Ich habe jetzt rausbekommen, dass die MAC-Adressen von Systemen hinter der Box stammen und hintereinander geschrieben sind:
bc:05:43:9c:8b:ba:00:23:a2:89:17:76:08:00:45:60:00:4c:52:9e:00:00:80:11:f7:b1:c0:a8:b2:19:d9:06:a4:28:04:07:00:7b:00:38:12:df:23:00:04:fa:00:00:11:ac:00:00:09:67
Zum Vergrößern anklicken....

Lieben Gruß von Stefan Harbich
 
Zuletzt bearbeitet:
Die Regeln haben vermutlich deswegen keine Hit Counts, weil AVMs Firewall teilweise an iptables vorbei läuft.
Die Regeln kannst Du alle weglassen, die haben keinen Effekt, bis auf die Log Regel, und deren Ausgabe bringt wenig, weil sie fast alle Pakete auflistet.

Dass die MAC Adressen hintereinander geschrieben sind, ist normal. Nicht normal ist, dass hier nicht nur die MAC Adressen stehen, sondern noch viel mehr. Vermutlich ist dies ebenfalls eine Folge von AVMs Eingriffen in den normalen Ablauf.
Wenn wir zum Beispiel den Eintrag aus #1 nehmen, haben die Werte folgende Bedeutung:
Code: 
MAC=bc:05:43:9c:8b:ba:00:23:a2:89:17:76:08:00:45:60:00:4c:52:9e:00:00:80:11:f7:b1:c0:a8:b2:19:d9:06:a4:28:04:07:00:7b:00:38:12:df:23:00:04:fa:00:00:11:ac:00:00:09:67
Ethernet Header:
bc:05:43:9c:8b:ba MAC Empfänger
00:23:a2:89:17:76 MAC Absender
08:00 Paket Typ (IP)
IP Header:
45:60:00:4c
52:9e:00:00
80:11:f7:b1 11=UDP
c0:a8:b2:19 Adresse Absender
d9:06:a4:28 Adresse Ziel
UDP Header
04:07:00:7b Port Absender, Port Ziel (123)
00:38:12:df Länge 56, Checksumme
UDP Daten (Anfang)
23:00:04:fa:00:00:11:ac:00:00:09:67
 
Nur interessehalber: Woher, also vermutlich von welchem Service, stammt die schöne Aufschlüsselung ?
 
Hallo zusammen,

ich habe in der Problematik nochmal nachgeforscht und habe die Art der Meldungen nachstellen können:
Code: 
Aug 21 19:01:38 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=lan OUT= MAC=24:65:11:6f:ce:67:20:54:76:*:*:*:08:00:45:00:00:3e:65:45:40:00:40:11:ef:f9:c0:a8:b2:1d:c0:a8:b2:01:77:d4:00:35:00:2a:2b:6c:7c:c1:01:00:00:01:00:00:00:00:00:00 SRC=*.*.*.29 DST=*
...
Aug 21 19:11:05 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=lan OUT= MAC=24:65:11:6f:ce:67:bc:05:43:*:*:*:08:00:45:00:00:43:c9:a2:00:00:40:11:cb:9a:c0:a8:b2:1a:c0:a8:b2:01:04:03:00:35:00:2f:e9:c3:0a:19:01:00:00:01:00:00:00:00:00:00 SRC=*.*.*.26 DST=*
Aug 21 19:11:06 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=lan OUT= MAC=24:65:11:6f:ce:67:00:24:fe:*:*:*:08:00:45:00:00:37:24:2c:40:00:40:11:31:1a:c0:a8:b2:1d:c0:a8:b2:01:7c:82:00:35:00:23:c2:3f:79:1b:01:00:00:01:00:00:00:00:00:00 SRC=*.*.*.29 DST=*

Entstanden sind die Logs, indem ich den expliziten Zugang zur Box nur von zwei IP-Adressen zulasse und für alle anderen Geräte (auch *.26 und *.29) den Zugang zur Box sperre [-P INPUT DROP]. im ersten Log ist die MAC-Adresse 20:54:76.* von einem Xperia, fest verdrahtet mit der IP *.29. In den beiden nächsten Logs sind die Mac-IDs von zwei AVM-Repeatern (bc:05:43.* und 00:24:fe.*). Also verlangen die Repeater Zugriff auf Port 53 (DNS) der Box (vermutlich, weil Sie im Auftrag eines angemeldeten Gerätes nach einer IP im Internet suchen). Eigenartig finde ich zwei Dinge:

1. Im letzten Log wird das Xperia (*.26) als Absender angegeben, trotzdem als Source-Mac der Repeater auftaucht
2. Die DNS-Anfragen sollten doch eigentlich (auch) "durch" die Box gehen, d.h. es sollten doch die in der Box eingetragenen DNS-Server gefragt werden. Eine entsprechende Regel existiert natürlich:
Code: 
-A TRANS -s *.*.*.0/24 -p udp -m multiport --dports 53,*,*,*,* -j ACCEPT

Im Eingangspost scheint ein Gerät Zugriff auf eine Zeitserver (UDP 123) zu verlangen ... also scheinen die Arten der Zugriffe zunächst mal nicht besonders "auffällig" zu sein.
Aber wieso gehen diese Anfragen (speziell die NTP-Abfrage) denn AN und nicht DURCH die Box ?
Kann sich darauf jemand einen Reim machen ?
Grüße,

JD.
 
Zuletzt bearbeitet:
JohnDoe42 schrieb:
Eigenartig finde ich zwei Dinge:
1. Im letzten Log wird das Xperia (*.26) als Absender angegeben, trotzdem als Source-Mac der Repeater auftaucht
Zum Vergrößern anklicken....
Der Repeater sendet das Paket, das er vom Xperia bekommen hat. Oder anders ausgedrückt, auf Ebene 2 ist es Repeater an Box, auf Ebene 3 sind es irgendwelche IP-Adressen.
2. Die DNS-Anfragen sollten doch eigentlich (auch) "durch" die Box gehen, d.h. es sollten doch die in der Box eingetragenen DNS-Server gefragt werden. Eine entsprechende Regel existiert natürlich
Zum Vergrößern anklicken....
Die DNS-Anfragen gehen an die Box, dort läuft ein DNS-Server. Dieser befragt die externen DNS-Server.
 
Das bedeutet also, daß ein "Verschließen" der Box gegen Zugriff der meisten Geräte im LAN auch gleichzeitig die Geräte vom Internet kappt, obwohl entsprechende FORWARD-Regeln existieren, weil die IPs der aufgerufenen Seiten nicht aufgelöst werden können ? Wieso ergibt sich dann im Eröffungsthread das Problem beim NTP-Zugriff ? Gehen auch diese von Geräten im LAN zuerst an die Box ?
Das DNS-Problem ließe sich ggfs. noch mit einem REDIRECT lösen, der allerdings funktionierendes NAT voraussetzen würde.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 403 (Mitglieder: 32, Gäste: 371)

Neueste Beiträge

Statistik des Forums

Themen
244,811
Beiträge
2,218,790
Mitglieder
371,494
Neuestes Mitglied
Jack Lear
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück