---

Hej

Et spørgsmål til de unix kyndige. Jeg står for en Mac OS X server
(10.2.3). Den er forbundet til internet via adsl på en cisco 610 router
der også fungerer som firewall. Jeg har åbnet for en nogle porte til
fildeling, filemaker, timbuktu o.s.v. Alle adgange kræver selvfølgelig
brugernavn og password for at logge på. På serveren benytter jeg ikke
firewall softwaren (den er slået fra).

Nu til problemet. I går formiddag fra kl 7 til 11 hvor jeg opdagede
problemet og genstartede serveren blev der skrevet en masse aktivitet
til system.log.

Som jeg forstår loggen (se uddrag nedenfor) er firewall softwaren (ipfw)
i gang med at acceptere adgang til serveren via div. porte.

Jeg har tjekket loggen i dag og der ingen aktivitet fra ipfw

Alle bud på hvad der er foregået er velkonme + eventuelle link til
artikler på nettet om problemet.


Hilen Niels

et (meget) kort uddrag af loggen:
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 out via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 in via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:945 192.168.1.101:985 out via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:945 192.168.1.101:985 in via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 out via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 in via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 out via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:985 192.168.1.101:945 in via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:945 192.168.1.101:985 out via lo0
Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
192.168.1.101:945 192.168.1.101:985 in via lo0

---

Hej,


On Wed, 02 Jul 2003 08:13:45 +0200, Niels Prins wrote:
>
> Alle bud på hvad der er foregået er velkonme + eventuelle link til
> artikler på nettet om problemet.
>
> et (meget) kort uddrag af loggen:
> Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
> 192.168.1.101:985 192.168.1.101:945 out via lo0
> Jun 30 07:00:36 X-server mach_kernel: ipfw: 10 Accept TCP
> 192.168.1.101:985 192.168.1.101:945 in via lo0

Er du helt sikker på at din OS X Servers firewall ikke er -
eller har været - i brug? Så vidt jeg husker er det kun
regel 65535 der er oprettet på en standard OS X Server og
dit log-klip viser at det er regel 10 der matches.

Prøv evt. at skrive følgende i en terminal:

sudo ipfw list

Det vil liste alle firewall reglerne. Jeg vil gætte på
at der bl.a. er en regel 10 der siger noget i stil med

00010 allow log ...blahblah... via lo0

Umiddelbart vil jeg ikke mene der er noget at være bange for
da din log siger at trafikken er gået via lo0 (loopback)
interfacet og det kun kan være din OS X Server selv der har
genereret den. Jeg går ud fra at din maskines IP adresse
er 192.168.1.101?


Mvh,
Morten

--
Who needs a life when you've got Unix?

---

In article <slrnbg50o5.2qjo.mojo@osiris.daemon.uu.dk>,
Morten Jørgensen <mojo@daemon.uu.dk> wrote:

> Er du helt sikker på at din OS X Servers firewall ikke er -
> eller har været - i brug? Så vidt jeg husker er det kun
> regel 65535 der er oprettet på en standard OS X Server og
> dit log-klip viser at det er regel 10 der matches.

Ja, jeg er sikker på den ikke har været i brug.

> Prøv evt. at skrive følgende i en terminal:
>
> sudo ipfw list
>
> Det vil liste alle firewall reglerne. Jeg vil gætte på
> at der bl.a. er en regel 10 der siger noget i stil med
>
> 00010 allow log ...blahblah... via lo0
>

resultatet er
65535 allow ip from any to any

dvs. at der kun er regel 65535 som du selv nævner i dit svar, eller...?

> Umiddelbart vil jeg ikke mene der er noget at være bange for
> da din log siger at trafikken er gået via lo0 (loopback)
> interfacet og det kun kan være din OS X Server selv der har
> genereret den. Jeg går ud fra at din maskines IP adresse
> er 192.168.1.101?

Det jeg er på jagt efter er årsagen til at pludselig begynder at
generere denne trafik. Hvis du har nogle forslag er du meget velkommen
til at komme med et bud.

Hilsen Niels

---

Hej,


On Wed, 02 Jul 2003 17:27:09 +0200, Niels Prins wrote:
>
>> Er du helt sikker på at din OS X Servers firewall ikke er -
>> eller har været - i brug? Så vidt jeg husker er det kun
>> regel 65535 der er oprettet på en standard OS X Server og
>> dit log-klip viser at det er regel 10 der matches.
>
> Ja, jeg er sikker på den ikke har været i brug.
>
>> Prøv evt. at skrive følgende i en terminal:
>>
>> sudo ipfw list
>>
>> Det vil liste alle firewall reglerne. Jeg vil gætte på
>> at der bl.a. er en regel 10 der siger noget i stil med
>>
>> 00010 allow log ...blahblah... via lo0
>>
>
> resultatet er
> 65535 allow ip from any to any
>
> dvs. at der kun er regel 65535 som du selv nævner i dit svar, eller...?

Jep.

>> Umiddelbart vil jeg ikke mene der er noget at være bange for
>> da din log siger at trafikken er gået via lo0 (loopback)
>> interfacet og det kun kan være din OS X Server selv der har
>> genereret den. Jeg går ud fra at din maskines IP adresse
>> er 192.168.1.101?
>
> Det jeg er på jagt efter er årsagen til at pludselig begynder at
> generere denne trafik. Hvis du har nogle forslag er du meget velkommen
> til at komme med et bud.

Hoster serveren et delt NetInfo domæne? Port 985 bruges som regel
af netinfod i forbindelse med den slags. Hvis det er tilfældet har
serveren bare haft brug for at slå op i dette domæne. Det undrer
mig lidt mere hvorfor ipfw pludselig er begyndt at logge det. Er
der andre der har admin/root adgang til maskinen?


Mvh,
Morten

--
Who needs a life when you've got Unix?