/var/log/ SUSE-Firewall, Meldungen & Lösungen

[warpi]

Morgen.
Habe ein Verständnisproblem mit den nachfolgenden Zeilen:
Apr 24 07:49:55 warpi kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=10.2.106.20 DST=224.0.0.251 LEN=105 TOS=0x00 PREC=0x00 TTL=255 ID=7 DF PROTO=UDP SPT=5353 DPT=5353 LEN=85
Apr 24 07:50:03 warpi kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.155.122.214 DST=84.155.3.42 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48355 DF PROTO=TCP SPT=4615 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Apr 24 07:50:06 warpi kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.155.122.214 DST=84.155.3.42 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48520 DF PROTO=TCP SPT=4615 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Apr 24 07:50:11 warpi kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=10.2.106.20 DST=224.0.0.251 LEN=105 TOS=0x00 PREC=0x00 TTL=255 ID=8 DF PROTO=UDP SPT=5353 DPT=5353 LEN=85
Apr 24 07:50:43 warpi kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=10.2.106.20 DST=224.0.0.251 LEN=105 TOS=0x00 PREC=0x00 TTL=255 ID=9 DF PROTO=UDP SPT=5353 DPT=5353 LEN=85
Apr 24 07:51:39 warpi kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.155.207.148 DST=84.155.3.42 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=9526 DF PROTO=TCP SPT=1168 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0 OPT (020405A00103030201010402)
Apr 24 07:52:22 warpi kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.121.24.43 DST=84.155.3.42 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=59487 DF PROTO=TCP SPT=3197 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Habe in der SUSE-Firewall die Protokollierung von zugelassenen Packeten ausgeschaltet, nur noch die kritischen, nicht aktzeptierten Packete sollen protokolliert werden.
Jetzt bekomme ich immer noch viele, viele Meldungen & kann diese nur zum Teil interpretieren.
Weiß jemand Rat, wie man diese Meldungen lesen bzw. reduzieren kann?
Hab zwar eine 2GB Logpartition, aber im Laufe der Zeit läuft die mir auch voll.

 

[warpi]

Also dann versuch ich mal die Meldungen etwas zu entzerren:
Apr 24 07:49:55 warpi kernel: ist wohl klar
SFW2-INext-DROP-DEFLT : SUSE-Firewall2 & der Rest?
IN=eth1 : Netzwerkkarte
OUT= MAC= SRC=10.2.106.20 : IP-Adresse(SRC)
DST=224.0.0.251 : Ziel-IP
LEN=105 : Länge?
TOS=0x00 PREC=0x00: ??
TTL=255 : Time to Live
ID=7 welche ID?
DF PROTO=UDP : UDP nicht TCP
SPT=5353 DPT=5353 LEN=85 : ?? Länge?
& dann bei dsl noch:
WINDOW=16384 RES=0x00 : ??
SYN URGP=0 OPT (020405A001010402) : ??

So jetzt stellt sich die Frage, was sollen mir diese Infos wohl sagen?

 

[oc2pus]

schaust du hier:
[TIP] Erklärung der netfiler (Firewall) Meldungen online
http://www.linux-club.de/viewtopic.php?t=15953

 

[Martin Breidenbach]

Ports 135 und 445 werden vom Windows Netzwerk (und Samba) benutzt.

Was DST=224.0.0.251 soll weiß ich nicht aber das sieht nach Multicast aus.

 

[oc2pus]

Hab zwar eine 2GB Logpartition, aber im Laufe der Zeit läuft die mir auch voll.

logrotate ist dein Freund ..

in /etc/logrotate.d kannst du einstellen wie gross die logfiles werden sollen und wieviele du aufheben möchtest.

 

[warpi]

Danke oc2pus & Martin für die schnelle Hilfe.
Werde dann mal ein wenig dieses Log-Tool ausprobieren.

 

[Der_Pit]

Weitere Tip ist Logwatch. Das wertet u.a. auch die iptables-Einträge aus und schickt Dir dann 'ne Mail, da sieht das dann beispielsweise so aus:

Dropped 1762 packets on interface eth1
   From 60.40.71.109 - 42 packets
      To xxx.xxx.xxx.xxx - 2 packets
         Service: cap (udp/1026) (SFW2-FWDext-DROP-DEFLT,eth1,eth0) - 1 packet
         Service: exosee (udp/1027) (SFW2-FWDext-DROP-DEFLT,eth1,eth0) - 1 packet
.
.
.

Pit

 

[warpi]

Morgen.
Der Link:
http://logi.cc/linux/NetfilterLogAnalyzer.php3
von oc2pus ist wirklich super.
Kleiner Auszug aus dem Tool:
IP Dest. Addr = 224.0.0.251
= Class D (224.0.0.0/4) = Multicast [RFC1112]
= Refer to multicast-addresses.
= You can block this if you don't use multicast.

Die anderen Vorschläge werde ich später mal ausprobieren.
Vielen Dank für die Tipps