[gelöst] Firewall log hat sehr viele Warnings

Pfalzwolf · 9 Dez. 2005

Hi,
ich bin gerade beim Durchforsten der riesigen Menge an Log-, Messages-, Warnungs-Dateien. Gerade bin ich bei der firewall Datei auf ständig wiederkehrende Warnungen gestoßen:

Code:

....
Dec  9 12:52:26 Pfalzwolf kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=218.66.104.207 DST=84.172.146.235 LEN=492 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=35502 DPT=1030 LEN=472 
Dec  9 12:55:14 Pfalzwolf kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=202.99.177.196 DST=84.172.146.235 LEN=492 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=35013 DPT=1026 LEN=472 
Dec  9 12:56:40 Pfalzwolf kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=221.208.208.3 DST=84.172.146.235 LEN=485 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=39507 DPT=1026 LEN=465 
Dec  9 12:57:02 Pfalzwolf kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=200.200.200.6 DST=84.172.146.235 LEN=44 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=1025 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC)

Leider bin ich noch nicht so tief in die Materie eingestiegen und hoffe auf einen freundlichen Tipp bezüglich der Warnungs-Flut.

Mein alleiniger PC ist per LAN an einer Fritz!Box(Router) angeschlossen. Die iptables habe ich nicht von Hand angerührt und den Firewall nach bestem Wissen und Gewissen dicht gemacht.

In diesem Forum gibt es ja eine Menge an anspruchsvollen Skripts und Einstellungsvorschlägen für Server und LAN Betrieb. Gibt es auch etwas für harmlose Anwender mit so einfacher Konfiguration wie bei mir oder reicht die komfortable Einstellung per YAST völlig aus?
[Edit]
Lösung
Entweder: FW_LOG_DROP_CRIT=no in SuSEfirewall2 in /etc/sysconfig

Oder: in Kontrollzentrum -> YaST2 Module -> Sicherheit und Benutzer -> Firewall
dort Protokollierungs-Level -> Nicht akzeptierte Pakete portokollieren -> Nichts protokollieren
[/Edit]

Frankie777 · 9 Dez. 2005

Da schaut sich der Chinese Deinen Rechner an.
siehe #nslookup 218.66.104.207

84.172.146.235 wird wohl Deine IP gewesen sein.

Hast Du Deinen Linux-Rechner in die DMZ des Routers gestellt, weil eigentlich sollte der Router diese Pakete wegwerfen?

Sofern die Einstellungen der Firewall und der Dienste stimmen ist das Log unkritisch.

framp · 9 Dez. 2005

Bei der SuSEFW gibt es FW_LOG_DROP_ALL="yes". Das auf "no" und schon kommen keine Logs mehr fuer gedroppte Packete. :wink:

jengelh · 9 Dez. 2005

Woher willst du wissen, dass es n Chinese war?

Code:

20:04 shanghai:~/Coding/AS_kernel-2.6-21 > traceroute 218.66.104.207
traceroute to 218.66.104.207 (218.66.104.207), 30 hops max, 40 byte packets
 1  212.185.254.105  33.426 ms   29.987 ms   33.462 ms
 2  217.237.159.78  28.965 ms   36.841 ms   26.110 ms
 3  h-ea1.H.DE.net.DTAG.DE (62.154.50.90)  38.992 ms   46.856 ms   38.070 ms
 4  217.239.40.109  186.027 ms   222.263 ms   230.187 ms
 5  62.156.139.150  267.335 ms   255.563 ms   243.334 ms
 6  202.97.49.129  183.189 ms   198.513 ms   187.375 ms
 7  202.97.51.161  454.867 ms   451.294 ms   455.657 ms
 8  202.97.33.109  463.608 ms   454.143 ms   455.282 ms
 9  202.97.40.86  462.942 ms   462.990 ms   463.053 ms
10  61.154.8.226  478.940 ms   469.975 ms   474.074 ms
11  192.168.1.34  462.149 ms * *
12  * 218.66.104.207  366.119 ms   367.305 ms

sagt nicht sehr viel.

Pfalzwolf · 9 Dez. 2005

@frankie777,
die Fritz!Box ist der Router und dahinter per LAN daran angeschlossen kommt der PC auf dem auch die Firewall läuft. Weitere PCs sind noch nicht existent.
dsl0 habe ich daher der externen und eth0 der internen Zone zugeordnet.

@framp,
den Parameter habe ich in /etc/sysconfig/SuSEfirewall2 auf yes gesetzt.

Da ich die Einrichtung per YAST vorgenommen hatte, habe ich dort die Logs so eingestellt:
externe Zone -; interne Zone und demilitarisierte Zone: Nicht akzeptierte Broadcast-Pakete protokollieren.

Vielen Dank so weit für das Feedback. Weitere Tipps werden sehr gerne angenommen.

framp · 9 Dez. 2005

Pfalzwolf schrieb:
@framp,
den Parameter habe ich in /etc/sysconfig/SuSEfirewall2 auf yes gesetzt.

Genau darum erhaeltst Du die Meldungen. Setzte es auf no und es ist Ruhe. :wink:

Frankie777 · 9 Dez. 2005

linux:/usr/lib/iptables # whois 218.66.104.207
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.66.0.0 - 218.67.127.255
netname: CHINANET-FJ
descr: CHINANET Fujian province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CA67-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-FJ
changed: hostmaster@ns.chinanet.cn.net 20010820
status: ALLOCATED NON-PORTABLE
source: APNIC

Pfalzwolf · 10 Dez. 2005

@framp,
die Einstellung von FW_LOG_DROP_ALL war vorher schon "no" und das brachte die vielen "SFW2-IN-ILL-TARGET" Meldungen.
Mit "yes" nehmen jetzt die "SFW2-INext-DROP-DEFLT" etwas überhand.

Code:

...
Dec 10 12:26:53 Pfalzwolf kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.172.240.38 DST=84.172.129.127 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=6973 DF PROTO=TCP SPT=4110 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402) 
Dec 10 12:26:56 Pfalzwolf kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.172.240.38 DST=84.172.129.127 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=7090 DF PROTO=TCP SPT=4110 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402) 
Dec 10 12:28:06 Pfalzwolf kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.172.114.100 DST=84.172.129.127 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=54038 DF PROTO=TCP SPT=4319 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402) 
Dec 10 12:28:09 Pfalzwolf kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.172.114.100 DST=84.172.129.127 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=54667 DF PROTO=TCP SPT=4319 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402) 
...

das kommt aus der Sektion der iptables:

Code:

Chain input_ext (1 references)
 pkts bytes target      prot opt in   out  source       destination       
    0     0 DROP        all  --  *    *    0.0.0.0/0    0.0.0.0/0    PKTTYPE = broadcast 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    icmp type 4 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    icmp type 8 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 0 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 3 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 11 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 12 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 14 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 18 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 3 code 2 
    0     0 ACCEPT      icmp --  *    *    0.0.0.0/0    0.0.0.0/0    state RELATED,ESTABLISHED icmp type 5 
    0     0 LOG         tcp  --  *    *    0.0.0.0/0    0.0.0.0/0    tcp dpt:113 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-REJECT ' 
    0     0 reject_func tcp  --  *    *    0.0.0.0/0    0.0.0.0/0    tcp dpt:113 state NEW 
  123  8388 LOG         all  --  *    *    0.0.0.0/0    0.0.0.0/0    limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' 
  128  8636 DROP        all  --  *    *    0.0.0.0/0    0.0.0.0/0

framp · 10 Dez. 2005

Die ILL-TARGET Meldungen sind das Problem. FW_LOG_DROP_ALL="no" unterdrueckt alle Meldungen. Ich habe mal im SuSEFW Script nachgesehen und es sieht mir so aus, als haettest Du eine weitere NW Karte in Deinem Rechner die der FW nicht bekannt ist.
Poste doch mal den Output von iptables -L-nv und ifconfig | grep encap

Pfalzwolf · 10 Dez. 2005

@framp, danke für Deine Mühe, hier sind die Infos

Code:

iptables -L -nv Output:

bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   37 16994 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
   12  1680 input_int  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    8   372 input_ext  all  --  dsl0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET ' 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING ' 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
   51  5144 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR ' 

Chain forward_ext (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain forward_int (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain input_ext (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5 
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-REJECT ' 
    0     0 reject_func  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 state NEW 
    8   372 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' 
    8   372 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain input_int (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   12  1680 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain reject_func (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-proto-unreachable

Code:

ifconf | grep encap Output:

dsl0      Link encap:Point-to-Point Protocol  
eth0      Link encap:Ethernet  HWaddr 00:11:D8:B1:FF:A6  
lo        Link encap:Local Loopback

Die vorhandene eth1 Schnittstelle ist nicht aktiv. eth0 und eth1 sind auf dem ASUS MB(siehe Signatur)

framp · 10 Dez. 2005

War Bloedsinn mit der weiteren NW Karte. Das sind Pakete die an Deinen Router gerichtet sind :roll:
Lt Code solltest du Ruhe haben wenn Du FW_LOG_DROP_CRIT=no in Deiner Konfig setzt.

[gelöst] Firewall log hat sehr viele Warnings

Pfalzwolf

Frankie777

framp

Moderator

jengelh

Pfalzwolf

framp

Moderator

Frankie777

Pfalzwolf

framp

Moderator

Pfalzwolf

framp

Moderator