Re: Unverständliche Iptable-log-Einträge
Hallo Rüdiger, Rüdiger Noack wrote: [...] > Das würde bedeuten, ich löse das Pingpong aus. Ich hatte aber eher > vermutet, dass ich ICMP-Pakete von der 173er-Adresse bekomme (die nicht > zu unserem Netz gehört) und meine Antwort darauf ins Leere läuft. Aber > auch das ist wildeste Spekulation und ich hatte gehofft, hier etwas > Erhellung zu bekommen. > > Noch mal der mir unverständliche log-Eintrag: > > IN=eth0 OUT= MAC=00:02:3f:37:90:d3:00:90:7f:00:03:26:08:00 > SRC=173.82.64.202 DST=172.16.13.13 LEN=56 TOS=0x00 PREC=0x00 TTL=64 > ID=27649 PROTO=ICMP TYPE=3 CODE=3 [SRC=172.16.13.13 DST=173.82.64.202 > LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45752 DF PROTO=TCP INCOMPLETE [8 > bytes] ] ein kleiner Auszug von Google: ---snip--- This is an ICMP Type 3 message. That type of message is sent when the destination address is unreachable. The part of the log in brackets is the IP header and the first 8 bytes after the IP header of the packet that could not reach its destination. It says TCP INCOMPLETE because the full TCP header is 20 bytes, but only 8 were there. ---snap--- > Für weitere Hinweise dankbar > Rüdiger HTH Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Unverständliche Iptable-log-Einträge
Richard Mittendorfer wrote: Also sprach Rüdiger Noack <[EMAIL PROTECTED]> (Fri, 30 Sep 2005 22:58:02 +0200): Andreas Kretschmer wrote: [...] Allerdings macht mich das 'INCOMPLETE' etwas unsicher... Ich vermute mal, die [ und alles, was dazwischen steht ] ist noch wichtiger für mein Verständnis. Das "INCOMPLETE" ist mir auch noch nicht untergekommen. Bei einer laenge von 8 Bytes hat das aber sicher Sinn und wird wohl in die Kategorie INVALID fallen? Nein, leider nicht. Invalide Pakete verwerfe ich. Bei google findet man ähnliche Einträge, wirklich schlau bin ich aber durch die zugehörigen Diskussionen nicht geworden. Die in [] gesetzte Verbindung scheint mir eine geNATtete (die urspruengliche) Verbindung zu sein? Das würde bedeuten, ich löse das Pingpong aus. Ich hatte aber eher vermutet, dass ich ICMP-Pakete von der 173er-Adresse bekomme (die nicht zu unserem Netz gehört) und meine Antwort darauf ins Leere läuft. Aber auch das ist wildeste Spekulation und ich hatte gehofft, hier etwas Erhellung zu bekommen. Noch mal der mir unverständliche log-Eintrag: IN=eth0 OUT= MAC=00:02:3f:37:90:d3:00:90:7f:00:03:26:08:00 SRC=173.82.64.202 DST=172.16.13.13 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=27649 PROTO=ICMP TYPE=3 CODE=3 [SRC=172.16.13.13 DST=173.82.64.202 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45752 DF PROTO=TCP INCOMPLETE [8 bytes] ] Für weitere Hinweise dankbar Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Unverständliche Iptable-log-Einträge
Also sprach Rüdiger Noack <[EMAIL PROTECTED]> (Fri, 30 Sep 2005 22:58:02 +0200): > Andreas Kretschmer wrote: > > [...] > > Allerdings macht > > mich das 'INCOMPLETE' etwas unsicher... > > > Ich vermute mal, die [ und alles, was dazwischen steht ] ist noch > wichtiger für mein Verständnis. Das "INCOMPLETE" ist mir auch noch nicht untergekommen. Bei einer laenge von 8 Bytes hat das aber sicher Sinn und wird wohl in die Kategorie INVALID fallen? Die in [] gesetzte Verbindung scheint mir eine geNATtete (die urspruengliche) Verbindung zu sein? ...komplett ohne Gewaehr... > Gruß > Rüdiger sl ritch
Re: Unverständliche Iptable-log-Einträge
Andreas Kretschmer wrote: SRC=173.82.64.202 DST=172.16.13.13 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=27649 PROTO=ICMP TYPE=3 CODE=3 [SRC=172.16.13.13 DST=173.82.64.202 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45752 DF PROTO=TCP INCOMPLETE [8 bytes] ] Weil das filtern wichtiger ICMP-Pakete in etwa der öffentlichen Erklärung "ich will keine Kommunikation" entspricht. Dann habe ich mich wohl komplett missverständlich ausgedrückt. Allerdings macht mich das 'INCOMPLETE' etwas unsicher... Ich vermute mal, die [ und alles, was dazwischen steht ] ist noch wichtiger für mein Verständnis. Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Unverständliche Iptable-log-Einträge
Andreas Kretschmer wrote: am 30.09.2005, um 11:24:53 +0200 mailte Ruediger Noack folgendes: Kann mir jemand erklären, welche Kommunikationsversuche Einträge dieser Art verursachen: IN=eth0 OUT= MAC=00:02:3f:37:90:d3:00:90:7f:00:03:26:08:00 SRC=173.82.64.202 DST=172.16.13.13 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=27649 PROTO=ICMP TYPE=3 CODE=3 [SRC=172.16.13.13 DST=173.82.64.202 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45752 DF PROTO=TCP INCOMPLETE [8 bytes] ] PROTO=ICMP TYPE=3 CODE=3: Schaffts Du es nicht selber, rauszubekommen, was das ist? http://www.manderby.com/mandalex/i/icmp.php -> 3 3 destination port unreachable (Port nicht erreichbar) Doch. Aber das ist nicht Kern meiner Frage. Wie müsste eine IP-Regel aussehen, die auf solche Einträge vernünfig (also nicht auf die IP-Adresse) matcht? iptables -I -P icmp -j DROP Schießt diese Regel nicht etwas über das Ziel hinaus? Ich möchte nur solche Pakete, die diese verschachtelten log-Einträge bewirken und irgendwo INCOMPLETE sind, verstehen und danach filtern. Aber es wäre einfacher, einfach den Stecker zu ziehen... Warum wäre es das? Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Unverständliche Iptable-log-Einträge
Moin Kann mir jemand erklären, welche Kommunikationsversuche Einträge dieser Art verursachen: IN=eth0 OUT= MAC=00:02:3f:37:90:d3:00:90:7f:00:03:26:08:00 SRC=173.82.64.202 DST=172.16.13.13 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=27649 PROTO=ICMP TYPE=3 CODE=3 [SRC=172.16.13.13 DST=173.82.64.202 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45752 DF PROTO=TCP INCOMPLETE [8 bytes] ] Die IP-Adresse 172.16.13.13 ist dabei meine. Wie müsste eine IP-Regel aussehen, die auf solche Einträge vernünfig (also nicht auf die IP-Adresse) matcht? Gruß Rüdiger -- ___ Gesendet von Yahoo! Mail - Jetzt mit 1GB Speicher kostenlos - Hier anmelden: http://mail.yahoo.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
