Hallo Leute aus gegebenen Anlass(Post vom T-Com Abuse Team) habe ich meinen WEB Server (Debian-Lenny) mit der arno-iptables-firewall "aufgebohrt". Mein Netz sieht im Moment so aus:
FB7170 - Intern 192.168.2.60 --- 192.168.2.201 Debian FW --- 192.168.3.255
In der FB sind 2 Portumleitungen definiert 80(WEB) und 1512(ssh) an 192.168.2.201
Jetzt bekomme ich im iptables log aber minütlich spoofing Meldungen die ich mir nicht erklären kann:
Sep 26 10:33:40 freudi kernel: [73485.973000] Spoofed packet: IN=eth0 OUT= MAC=00:1c:c0:a9:a0:7c:00:1a:4f:c6:b3:86:08:00 SRC=192.168.2.60 DST=192.168.2.201 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=46563 DF PROTO=TCP SPT=4315 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0
Die SPT/DPT wechseln ständig das sieht also wie ein Portscan aus. Aber warum die Fritzbox das? Sind das etwas Pakete aus dem I-Net die FB durchlässt? Ich dachte sämtlicher einkommender Verkehr würde schon von der FB geblockt werden?
Kann mir da mal jemand auf die Sprünge helfen?
Freudi
FB7170 - Intern 192.168.2.60 --- 192.168.2.201 Debian FW --- 192.168.3.255
In der FB sind 2 Portumleitungen definiert 80(WEB) und 1512(ssh) an 192.168.2.201
Jetzt bekomme ich im iptables log aber minütlich spoofing Meldungen die ich mir nicht erklären kann:
Sep 26 10:33:40 freudi kernel: [73485.973000] Spoofed packet: IN=eth0 OUT= MAC=00:1c:c0:a9:a0:7c:00:1a:4f:c6:b3:86:08:00 SRC=192.168.2.60 DST=192.168.2.201 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=46563 DF PROTO=TCP SPT=4315 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0
Die SPT/DPT wechseln ständig das sieht also wie ein Portscan aus. Aber warum die Fritzbox das? Sind das etwas Pakete aus dem I-Net die FB durchlässt? Ich dachte sämtlicher einkommender Verkehr würde schon von der FB geblockt werden?
Kann mir da mal jemand auf die Sprünge helfen?
Freudi
