michi1983
Goto Top

Iptables Log

Sonnigen guten Tag allen miteinander!

Hab heute mal das Logfile von iptables durgeschaut und habe ein paar Einträge gefunden die meinen Printserver (Linksys PSUS4) betreffen. IP: 192.168.2.13

Jul 13 10:30:24 scalix kernel: [126739.842515] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59731 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:30:54 scalix kernel: [126769.837564] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59732 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:31:24 scalix kernel: [126799.833568] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59733 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:31:54 scalix kernel: [126829.828616] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59809 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:32:24 scalix kernel: [126859.924641] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59810 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:32:54 scalix kernel: [126889.919639] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59882 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:33:24 scalix kernel: [126920.015676] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59883 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:33:54 scalix kernel: [126950.010728] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59884 PROTO=UDP SPT=138 DPT=138 LEN=209 

Ich interpretiere das so, dass der Printserver über den UDP Port 138 "irgendetwas" macht face-smile Ich habe versucht den Port 138 in meiner iptables Konfiguration mal zu öffnen. Aber die Meldungen kommen weiterhin.
Könnt ihr mir vielleicht helfen das etwas genauer zu interpetieren ?

Gruß, Michael

//Edit:
Zu meiner Netzwerk-Struktur:
Linux-Server (fileserver, dhcp-server, dns-server, iptables) -> Switch -> Clients

Content-Key: 146786

Url: https://administrator.de/contentid/146786

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 13.07.2010 um 11:13:18 Uhr
Goto Top
Das sind wie man an der Ziel Adresse sieht ja Port 138 netbios-dgm bzw. NetBIOS datagram UDP Broadcast Pakete die an alle im Segment gehen. Typische Naming Broadcasts mit denen sich der PS vermutlich im Netz bekannt macht (oder bei dir bekannt machen will).
Vermutlich filtern deine IPtables entweder Broadcasts oder UDP 138 Pakete. Wenn die Message weiterhin auftaucht wird auch weiter gefiltert.
Falls dieser Filter richtung Internet geht also wenn du Masquerading machst und den Linux als Router benutzt ist das durchaus normal, denn UDP 138er Broadcast Frames haben im Internet nix zu suchen !
Mitglied: michi1983
michi1983 13.07.2010 um 11:16:31 Uhr
Goto Top
Okay, dann scheint ja alles zu passen.
Die Linux Kiste ist Router und masquerading wird auch gemacht!
Danke aqui!

Gruß