Kandu.dk - Firwall: unauthorized-target


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Firwall: unauthorized-target
Fra : Sune Fibæk

Dato : 01-07-02 20:41

Jeg har sat min suse (8.0) op til firewalling - ikke noget fancy, bare med
den indbygge Yast2 configurator. Imidlertid får jeg ca. hvert tredje minut
en linie a la:

Jul 1 20:57:41 odin kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=eth0 OUT=
MAC=01:00:5e:00:00:01:00:20:40:06:98:bd:08:00 SRC=192.168.100.1
DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=0 PROTO=2

i min /var/log/firewall. Det er så stofas kabelmodem (ip 192.168.100.1)
forsøger at få fat på en eller anden intern maskine hos stofa. Fair nok.
Men hvordan laver jeg et hul i min brandmur således at modemmet kan snakke
med 224.0.0.1 uden at den brokker sig?

Og nu vi er ved det, så får jeg også denne her:

Jul 1 20:49:21 odin kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC=
SRC=192.168.1.1 DST=192.168.1.255 LEN=241 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=UDP SPT=138 DPT=138 LEN=221

Hvorfor prøver mit interne netkort at kontakt netbios porten på gateway
adressen? Og hvorfor bliver den droppet af anti-spoofing reglerne?

/Sune

--
Although I ask and though I Query
I know the truth; I grok the theory
Life is a multimedia of sins
So he who collects the most porn wins

http://ars.userfriendly.org/cartoons/?id=20000307&mode=classic

Rasmus Bøg Hansen (01-07-2002)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 01-07-02 20:51

Sune Fibæk wrote:

> Jul 1 20:57:41 odin kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=eth0 OUT=
> MAC=01:00:5e:00:00:01:00:20:40:06:98:bd:08:00 SRC=192.168.100.1
> DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=0 PROTO=2

Det er multicast.

> Men hvordan laver jeg et hul i min brandmur således at modemmet kan snakke
> med 224.0.0.1 uden at den brokker sig?

Hvorfor skal den det? Bruger du multicast?

> Jul 1 20:49:21 odin kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC=
> SRC=192.168.1.1 DST=192.168.1.255 LEN=241 TOS=0x00 PREC=0x00 TTL=64 ID=0
> DF PROTO=UDP SPT=138 DPT=138 LEN=221

Har du en Windows-maskine stående på eth1? De laver hele tiden sådan nogle
numre.

> Hvorfor prøver mit interne netkort at kontakt netbios porten på gateway
> adressen? Og hvorfor bliver den droppet af anti-spoofing reglerne?

Det må være en maskine sluttet til eth1. Den er modtaget på eth1-kortet og
ikke på lo - derfor stammer den ikke fra din egen maskine.

Hvad er IP/netmaske på eth1?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
UNIX is user-friendly;
it's just particular about who it chooses to be friends with!
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Sune Fibæk (01-07-2002)

Kommentar
Fra : Sune Fibæk

Dato : 01-07-02 21:11

Rasmus Bøg Hansen wrote:

>> Jul 1 20:57:41 odin kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=eth0 OUT=
> Det er multicast.

Okay.

>> Men hvordan laver jeg et hul i min brandmur således at modemmet kan
>> snakke med 224.0.0.1 uden at den brokker sig?
>
> Hvorfor skal den det? Bruger du multicast?

God pointe! Det gør jeg ikke. Så spørgsmålet må jo være hvordan jeg lukke
hullet?

>> Jul 1 20:49:21 odin kernel: SuSE-FW-DROP-ANTI-SPOOFING IN=eth1 OUT= MAC=
> Har du en Windows-maskine stående på eth1? De laver hele tiden sådan nogle
> numre.

Ja. Eller rettere: nogle stykker som oven i købet af og til er tændt :)

>> Hvorfor prøver mit interne netkort at kontakt netbios porten på gateway
>> adressen? Og hvorfor bliver den droppet af anti-spoofing reglerne?
>
> Det må være en maskine sluttet til eth1. Den er modtaget på eth1-kortet og
> ikke på lo - derfor stammer den ikke fra din egen maskine.

mit setup er: stofa modem(192.168.100.1) - eth0(192.168.141.41) -
eth1(192.168.1.1) - switch - forskellige andre maskiner på
netværket(192.168.1.xxx).

>
> Hvad er IP/netmaske på eth1?

192.168.1.1/255.255.255.0

>
> /Rasmus
>

/Sune

Rasmus Bøg Hansen (01-07-2002)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 01-07-02 21:47

Sune Fibæk wrote:

>>> Men hvordan laver jeg et hul i min brandmur således at modemmet kan
>>> snakke med 224.0.0.1 uden at den brokker sig?
>>
>> Hvorfor skal den det? Bruger du multicast?
>
> God pointe! Det gør jeg ikke. Så spørgsmålet må jo være hvordan jeg lukke
> hullet?

Det lader til at du benytter et Suse-værktøj, som jeg desværre ikke kender.

>>> Hvorfor prøver mit interne netkort at kontakt netbios porten på gateway
>>> adressen? Og hvorfor bliver den droppet af anti-spoofing reglerne?
>>
>> Det må være en maskine sluttet til eth1. Den er modtaget på eth1-kortet
>> og ikke på lo - derfor stammer den ikke fra din egen maskine.
>
> mit setup er: stofa modem(192.168.100.1) - eth0(192.168.141.41) -
> eth1(192.168.1.1) - switch - forskellige andre maskiner på
> netværket(192.168.1.xxx).

Hmmm... Hvorfor den betragtes som en spoofet pakke, har jeg ingen anelse om.
Det er almindelig broadcast...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Sune Fibæk (01-07-2002)

Kommentar
Fra : Sune Fibæk

Dato : 01-07-02 23:36

Rasmus Bøg Hansen wrote:

>> God pointe! Det gør jeg ikke. Så spørgsmålet må jo være hvordan jeg lukke
>> hullet?
>
> Det lader til at du benytter et Suse-værktøj, som jeg desværre ikke
> kender.

SuSEFirewall2 (som den nok så fint hedder) er baseret på iptables. SFW2 er,
så vidt jeg har forstået, bare et GUI til iptables.

>
>> mit setup er: stofa modem(192.168.100.1) - eth0(192.168.141.41) -
>> eth1(192.168.1.1) - switch - forskellige andre maskiner på
>> netværket(192.168.1.xxx).
>
> Hmmm... Hvorfor den betragtes som en spoofet pakke, har jeg ingen anelse
> om. Det er almindelig broadcast...

Tja... tak alligevel. Vil rode lidt med iptables i den nærmeste fremtid -
måske det giver pote.

/Sune

Bo Simonsen (02-07-2002)

Kommentar
Fra : Bo Simonsen

Dato : 02-07-02 15:31

On Tue, 02 Jul 2002 00:36:00 +0200, Sune Fibæk wrote:

> Tja... tak alligevel. Vil rode lidt med iptables i den nærmeste fremtid
> - måske det giver pote.

Et godt råd, smid det der program af hå til.

Og skriv dit eget firewall script, så du ved hvad din
firewall faktisk kør, helt præcist.

Her er lidt inspiration:
http://www.braindump.dk/dk/wiki/?wikipage=IpTables

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation!

Sune Fibæk (02-07-2002)

Kommentar
Fra : Sune Fibæk

Dato : 02-07-02 20:50

Bo Simonsen wrote:

> Et godt råd, smid det der program af hå til.

Den konklusion er jeg også efterhånden kommet frem til. Og er af samme grund
ved at tillære mig ny viden om iptables :)

> Og skriv dit eget firewall script, så du ved hvad din
> firewall faktisk kør, helt præcist.

Yup, fleksibilitet er rart.

>
> Her er lidt inspiration:
> http://www.braindump.dk/dk/wiki/?wikipage=IpTables

Tak. Kigger på det.

/Sune

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408871
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste