Komische Einträge im Firewall-Log

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
BadBunny
Kabelneuling
Beiträge: 10
Registriert: 09.05.2012, 20:44

Komische Einträge im Firewall-Log

Beitrag von BadBunny » 10.05.2012, 11:27

Mir ist heute, bei der Durchsicht der Logfiles meiner Firewall, was seltsames aufgefallen. Und zwar müllt mir etwas das Logfile regelrecht zu

Code: Alles auswählen

2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52177 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52180 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52691 PROTO=UDP SPT=67 DPT=68 LEN=287
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52694 PROTO=UDP SPT=67 DPT=68 LEN=287
IN=vlan2 ist der WAN Eingang und die IP stammt aus einem privaten (dem UM Netz?), also bekomme ich massig Anfragen von UM. Ist das normal und vor allem warum?

Benutzeravatar
josen
Ehrenmitglied
Beiträge: 293
Registriert: 20.11.2008, 12:54

Re: Komische Einträge im Firewall-Log

Beitrag von josen » 10.05.2012, 12:00

Moinsen,

schauen wir uns das doch mal genauer an. Zuerstmal hast du im Feld MAC drei MAC-Adressen:
- FF:FF:FF:FF:FF:FF
Das ist die Broadcast-Mac Adresse

- 00:26:cb:d5:ac:d9
Das ist ein PHY von Cisco

- 08:00:45:00:01:35
Und ein PHY von einer "Concurrent Computer Corp"

Bei UDP Source-Port 67 und Destination-Port 68 müssten bei dir die Klingen schellen, Kollege *grins* :) Das ist DHCP! (Siehe hier: http://www.linklogger.com/UDP67_68.htm).
Und weil es ein Paket von einem speziellen Server an die Broadcast-IP ist, sind das DHCP-Offers vom Unitymedia an neue Clients in deinem Netzsegment.

Was ich interessant finde ist, dass du die sehen kannst. Ich vermute mal, du hängst an einem CISCO Modem und keiner Fritz!BOx UND hast 802.1q aktiviert? Wenn du das alles gerne mal genauer erforschen möchtest, kannst du auf deinem Linux-Router mal ein TCPDump mitlaufen lassen, dass alle Pakete von diesem UM-Server aufzeichnet und das resultierende PCAP (auch gerne per PN) mir zuschicken. Aufzeichnen würde so gehen:

Code: Alles auswählen

tcpdump -i <DeinEthX> -s 65535 -w aufzeichnung.pcap host 10.122.64.1
Grüße

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Komische Einträge im Firewall-Log

Beitrag von piotr » 10.05.2012, 14:10

Ist normal, wenn man zwischen Kabelmodem und dem Router (Netgear WNR3500L) noch eine zusaetzliche Firewall aufbaut.

Nur dann sollte man auch schon wissen was da so alles durchlaufen muss.

Oder macht die zusaetzliche Firewall bei Dir auch noch die Router-Funktion?
Dann baendige mal eher Deinen Netgear WNR3500L, der DHCP-Anfragen ins UM Netz sendet.
Denn das sind die Antworten darauf.

BadBunny
Kabelneuling
Beiträge: 10
Registriert: 09.05.2012, 20:44

Re: Komische Einträge im Firewall-Log

Beitrag von BadBunny » 10.05.2012, 15:38

Der Netgear ist sowohl Firewall als auch Router. Schickt seine logs nur an einen Syslogserver statt sie lokal vorzuhalten.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Komische Einträge im Firewall-Log

Beitrag von piotr » 10.05.2012, 19:01

Solange Du keine regelmaessig alle 60min auftretenden Probleme mit Abbruechen von allen IP-basierten Verbindungen hast, wuerde ich das ignorieren.

Ansonsten bei Netgear melden, sofern Du die originale Netgear Firmware in der aktuellen Version nutzt.
Bei Nutzung einer alternativen Firmware (z.B. DD-WRT/OpenWRT) wuerde ich das mit der aktuellen Netgear Firmware gegentesten und falls sich das auf die alternative Firmware eingrenzen laesst entsprechend dort nach einer neuen Version schauen bzw. dann bei denjenigen melden, die die alternative Firmware veroeffentlicht haben.

BadBunny
Kabelneuling
Beiträge: 10
Registriert: 09.05.2012, 20:44

Re: Komische Einträge im Firewall-Log

Beitrag von BadBunny » 10.05.2012, 19:33

Das gleiche hab ich mit einem D-Link Router auch da heisst es nur anders, genau wie mit OpenWRT, Tomato oder der Originalfirmware.
Eine Fritzbox 7170 zeigt leider keine logs an, aber auch dort blinkt sich der WAN Port des Modems tot, macht also das gleiche.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Komische Einträge im Firewall-Log

Beitrag von piotr » 10.05.2012, 20:27

Ich sehe daraus nur, dass Du Dich mit DHCP und auch mit anderen Protokollen beschaeftigen solltest.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Hoschiyama, Manu86, Marannon, perryair und 3 Gäste