Iptables - Merkwürdige Anforderung der Box

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,466
Punkte für Reaktionen
3
Punkte
38
Hallo zusammen,

das ich mit meiner Frage möglicherweise hier im falschen Unterforum bin ist mit bewußt ... allerdings wäre ohne iptables auf der Box (7390 FW) diese Frage garnicht aufgekommen und eigentlich dachte ich, daß sich diese durch die hier doch frequent mitlesende Fachkompetenz vielleicht beantworten ließe .. ;-)
Also: Ich hab' auf der Box ein Image des Trunks (Rev. 6479), u.A. mit iptables. Dies hab' ich im Wesentlichen nach dem wiki erstellt, aber auch die eine oder andere Erweiterung der Regeln eingebaut. Seit einiger Zeit wundern mich nun Zeilen im Syslog ala
Code: 
Feb  8 15:10:21 fritz user.warn kernel: [IPT] WARNING-CALL-HOMEIN= OUT=dsl SRC=192.168.1.1 DST=62.156.238.41 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45110 DF PROTO=TCP SPT=3550 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 
Feb  8 15:10:22 fritz user.warn kernel: [IPT] WARNING-CALL-HOMEIN= OUT=dsl SRC=192.168.1.1 DST=62.156.238.8 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=35942 DF PROTO=TCP SPT=2864 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 
Feb  8 14:37:53 fritz user.warn kernel: [IPT] WARNING-CALL-HOMEIN= OUT=dsl SRC=192.168.1.1 DST=178.236.5.38 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=42631 DF PROTO=TCP SPT=3199 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Die letzte zugehörige Destination-IP gehört zu Amazon. Dieser Eintrag ergibt sich, wenn sich jemand an einer Workstation im Netz der Box in sein Amazon-Profil einlogt. Allerdings stellt sich mir (da ich die Output-Chain exakt wie im wiki beschrieben gehalten hatte) die Frage, warum die Box selber und nicht die IP der Workstation diese Anfrage ausführt ... ?
Desweiteren scheint die Box relativ viele soclher Anfragen auszuführen (Facebook, Google, Verisign, Yahoo usw.). Einige dieser Anfragen zielen laut APNIC auf Nameserver, bei wieder anderen weiß ich nicht, worauf die Box zielt. Also: Wieso führt denn die Box diese Anfragen aus und nicht die jeweilige Workstation selbst ?
Grüße,

JD.
 
Zuletzt bearbeitet:
Vermutlich werden diese Anfragen von den Clients initiiert und nicht von der Box selbst. Du kannst das nachprüfen, indem Du entsprechende Regeln für das LAN-Interface anlegst, oder mit tcpdump die Pakete beobachtest.
 
Ich sag mal, das kommt vom kopieren der Regeln aus der wiki / Beispielen, ohne sie verstanden zu haben.

Ursprünglich war diese Regel im OUTPUT Zweig auf die AVM IP-Adressen gesetzt und diente dazu, zu protokollieren, wenn die Fritte selbstständig bei AVM anklopft (z.B. um nach Updates zu suchen).

Ohne Dein konkretes Regelwerk kann ich Dir aber nicht sagen, wieso auch Zugriffe nach Amazon protokolliert werden.

Facebook, Google, Verisign, Yahoo sind auch nicht unbedingt Ziele, zu denen die Fritzbox Verbindung aufnehmen sollte - außer Du benutzt sie als Proxy Server. In diesem Fall solltest Du Dir die Regeln mal genauer anschauen.
 
Zuletzt bearbeitet:
Hallo cando,

besten Dank für Deine Info. In der Tat läuft auf der Box ein transparenter Proxy (iptables/privoxy). Inwiefern sollte ich mir die Regeln in der Output-chain genauer anschauen ?
Grüße,

JD.
 
Meine Beispiel-Regeln im Output Chanel sorgen dafür, dass die Box keinerlei Web-Seiten selbst aufruft und nur die nötigsten Dienste im Internet verwendet (dns, ntp, ...). Alles andere wird geblockt in der OUTPUT chain.

Die Rechner im LAN bauen Verbindungen ins Internet über die FORWARD chain zum surfen / email etc. Damit ist die Box außen vor und geschützt.

Wenn Du die Box als Proxy verwendest, ist das ein anderes scenario. In diesem Fall surft nicht der Computer im LAN, sondern die Box (Proxy = Stellvertreter). Und die leitet dann die Ergebnisse ins LAN weiter.
Also musst Du die Ports 80 und 443 in der OUTPUT chain für alle Zieladressen erlauben, wenn die Box als Proxy dienen soll. Im Gegenzug kannst Du diese ja in der FORWARD chain blocken und so verhindern,
dass deine Computer direkt ohne Proxy surfen können.

Also Regeln genau anschauen...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 613 (Mitglieder: 6, Gäste: 607)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,591
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück