• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

dial on demand verbindung beendet sich nicht automatisch

T

tom_ge

Hallo,
bin noch recht neu in der linux-gemeinde und bräuchte eueren Rat. Habe SUSE 9.2 installiert und gehe über ISDN-Fritz card ins Internet. Dial-on demand ist aktiviert und funktioniert auch mit mehreren Providern, jedoch baut sich die Verbindung nur sporatisch selbständig wieder ab. Wenn dich die /var/log/messages anschaue, kommen bei jeder Verbidung ins Inet folgende Einträge:

Jul 29 22:15:17 tg01 kernel: SFW2-INext-DROP IN=ippp0 OUT= MAC= SRC=145.254.221.236 DST=145.254.202.146 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=35756 DF PROTO=TCP SPT=3216 DPT=139 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jul 29 22:15:20 tg01 kernel: SFW2-INext-DROP IN=ippp0 OUT= MAC= SRC=145.254.221.236 DST=145.254.202.146 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=36368 DF PROTO=TCP SPT=3216 DPT=139 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jul 29 22:16:39 tg01 kernel: SFW2-INext-DROP-DEFLT IN=ippp0 OUT= MAC= SRC=145.254.199.216 DST=145.254.202.146 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=57712 DF PROTO=TCP SPT=4023 DPT=135 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Wie sind diese zu interpretieren, und wie kann dadurch eine Fehlerhafte Einstellung lokalisiert werden? Wo gibt es darüber mehr _ Infos?

Im Voraus schon mal vielen Dank!
 
Martin Breidenbach

Martin Breidenbach

Zu interpretieren sind diese Meldungen durch Angucken und Verständnis wie TCP/IP funktioniert.

Irgendwo gibts eine Website in die man SuSEFirewall Meldungen 'pasten' kann und die einem das dann in Deutsch übersetzt. Ich habe aber leider den Link verschlampt.

Die wichtigsten Felder sind:
SRC = Absender-IP
DST = Empfänger-IP
SPT = Absender-Port
DPT = Empfänger-Port

Das im Protokoll (Port 139) ist Windows-Netzwerk-Geschwafel.

Was ein Port üblicherweise macht kann man in /etc/services nachschauen.

SRC=145.254.221.236 DST=145.254.202.146
Zum Vergrößern anklicken....

Diese IP's gehören zu arcor. Da versucht jemand auf Deinen Rechner via SMB zuzugreifen. Das ist aber 'normal' (daß das irgendein Skript-Kiddie versucht). Dafür gibts dann Firewalls :D

Alternativ kannst Du Das Firewallprotokoll an arcor schicken und denen sagen sie sollen dem 1337 hax0r mal auf die Finger hauen. Wird aber wohl nix nützen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben