- Anzeige -

Komische Einträge im Firewall-Log

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Komische Einträge im Firewall-Log

Beitragvon BadBunny » 10.05.2012, 11:27

Mir ist heute, bei der Durchsicht der Logfiles meiner Firewall, was seltsames aufgefallen. Und zwar müllt mir etwas das Logfile regelrecht zu

Code: Alles auswählen
2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52177 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52180 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52691 PROTO=UDP SPT=67 DPT=68 LEN=287
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52694 PROTO=UDP SPT=67 DPT=68 LEN=287


IN=vlan2 ist der WAN Eingang und die IP stammt aus einem privaten (dem UM Netz?), also bekomme ich massig Anfragen von UM. Ist das normal und vor allem warum?
BadBunny
Kabelneuling
 
Beiträge: 10
Registriert: 09.05.2012, 20:44

Re: Komische Einträge im Firewall-Log

Beitragvon josen » 10.05.2012, 12:00

Moinsen,

schauen wir uns das doch mal genauer an. Zuerstmal hast du im Feld MAC drei MAC-Adressen:
- FF:FF:FF:FF:FF:FF
Das ist die Broadcast-Mac Adresse

- 00:26:cb:d5:ac:d9
Das ist ein PHY von Cisco

- 08:00:45:00:01:35
Und ein PHY von einer "Concurrent Computer Corp"

Bei UDP Source-Port 67 und Destination-Port 68 müssten bei dir die Klingen schellen, Kollege *grins* :) Das ist DHCP! (Siehe hier: http://www.linklogger.com/UDP67_68.htm).
Und weil es ein Paket von einem speziellen Server an die Broadcast-IP ist, sind das DHCP-Offers vom Unitymedia an neue Clients in deinem Netzsegment.

Was ich interessant finde ist, dass du die sehen kannst. Ich vermute mal, du hängst an einem CISCO Modem und keiner Fritz!BOx UND hast 802.1q aktiviert? Wenn du das alles gerne mal genauer erforschen möchtest, kannst du auf deinem Linux-Router mal ein TCPDump mitlaufen lassen, dass alle Pakete von diesem UM-Server aufzeichnet und das resultierende PCAP (auch gerne per PN) mir zuschicken. Aufzeichnen würde so gehen:

Code: Alles auswählen
tcpdump -i <DeinEthX> -s 65535 -w aufzeichnung.pcap host 10.122.64.1


Grüße
Benutzeravatar
josen
Co-Administrator
 
Beiträge: 341
Registriert: 20.11.2008, 13:54

Re: Komische Einträge im Firewall-Log

Beitragvon piotr » 10.05.2012, 14:10

Ist normal, wenn man zwischen Kabelmodem und dem Router (Netgear WNR3500L) noch eine zusaetzliche Firewall aufbaut.

Nur dann sollte man auch schon wissen was da so alles durchlaufen muss.

Oder macht die zusaetzliche Firewall bei Dir auch noch die Router-Funktion?
Dann baendige mal eher Deinen Netgear WNR3500L, der DHCP-Anfragen ins UM Netz sendet.
Denn das sind die Antworten darauf.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Komische Einträge im Firewall-Log

Beitragvon BadBunny » 10.05.2012, 15:38

Der Netgear ist sowohl Firewall als auch Router. Schickt seine logs nur an einen Syslogserver statt sie lokal vorzuhalten.
BadBunny
Kabelneuling
 
Beiträge: 10
Registriert: 09.05.2012, 20:44

Re: Komische Einträge im Firewall-Log

Beitragvon piotr » 10.05.2012, 19:01

Solange Du keine regelmaessig alle 60min auftretenden Probleme mit Abbruechen von allen IP-basierten Verbindungen hast, wuerde ich das ignorieren.

Ansonsten bei Netgear melden, sofern Du die originale Netgear Firmware in der aktuellen Version nutzt.
Bei Nutzung einer alternativen Firmware (z.B. DD-WRT/OpenWRT) wuerde ich das mit der aktuellen Netgear Firmware gegentesten und falls sich das auf die alternative Firmware eingrenzen laesst entsprechend dort nach einer neuen Version schauen bzw. dann bei denjenigen melden, die die alternative Firmware veroeffentlicht haben.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Komische Einträge im Firewall-Log

Beitragvon BadBunny » 10.05.2012, 19:33

Das gleiche hab ich mit einem D-Link Router auch da heisst es nur anders, genau wie mit OpenWRT, Tomato oder der Originalfirmware.
Eine Fritzbox 7170 zeigt leider keine logs an, aber auch dort blinkt sich der WAN Port des Modems tot, macht also das gleiche.
BadBunny
Kabelneuling
 
Beiträge: 10
Registriert: 09.05.2012, 20:44

Re: Komische Einträge im Firewall-Log

Beitragvon piotr » 10.05.2012, 20:27

Ich sehe daraus nur, dass Du Dich mit DHCP und auch mit anderen Protokollen beschaeftigen solltest.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26


Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 90 Gäste