25431
May 07, 2007, updated at May 16, 2007 (UTC)
9168
3
0
Seltsame IP-Einträge in Firewall, werden trotz block zugelassen
Hallo,
Firewall zeigt mir in letzter Zeit folgende Reports. Das Netz sieht folgendermaßen aus: Fritzbox (mit Dyndns) -> Hardware-Firewall -> Internes Netz.
Folgender Eintrag stammt aus der Hardware-Firewall und wird alle 2 Minuten eingetragen und das seit ca. 2 Wochen.
Leider weiß ich nichts damit anzufangen. Habe in der Hardware-Firewall eine Richtlinie erstellt welche diese Quelle blockieren soll, leider ohne erfolg. Immer wieder kommt die Meldung "Traffic accepted by firewall". Bin langsam am verzweifeln. Vielleicht weiß jemand mehr.
WHOIS Resolve Entry for 0.0.236.30
OrgName Internet Assigned Numbers Authority
OrgID IANA
Address 4676 Admiralty Way, Suite 330
City Marina del Rey
StateProv CA
PostalCode 90292-6695
Country US
NetRange 0.0.0.0 - 0.255.255.255
CIDR 0.0.0.0/8
Network Name RESERVED-1
NetHandle NET-0-0-0-0-1
Parent
NetType IANA Special Use
Comment Please see RFC 3330 for additional information.
RegDate
Updated 2002-10-14
OrgAbuseHandle IANA-IP-ARIN
OrgAbuseName Internet Corporation for Assigned Names and Number
OrgAbusePhone +1-310-301-5820
OrgAbuseEmail abuse@iana.org
OrgTechHandle IANA-IP-ARIN
OrgTechName Internet Corporation for Assigned Names and Number
OrgTechPhone +1-310-301-5820
OrgTechEmail abuse@iana.org
Firewall zeigt mir in letzter Zeit folgende Reports. Das Netz sieht folgendermaßen aus: Fritzbox (mit Dyndns) -> Hardware-Firewall -> Internes Netz.
Folgender Eintrag stammt aus der Hardware-Firewall und wird alle 2 Minuten eingetragen und das seit ca. 2 Wochen.
Leider weiß ich nichts damit anzufangen. Habe in der Hardware-Firewall eine Richtlinie erstellt welche diese Quelle blockieren soll, leider ohne erfolg. Immer wieder kommt die Meldung "Traffic accepted by firewall". Bin langsam am verzweifeln. Vielleicht weiß jemand mehr.
WHOIS Resolve Entry for 0.0.236.30
OrgName Internet Assigned Numbers Authority
OrgID IANA
Address 4676 Admiralty Way, Suite 330
City Marina del Rey
StateProv CA
PostalCode 90292-6695
Country US
NetRange 0.0.0.0 - 0.255.255.255
CIDR 0.0.0.0/8
Network Name RESERVED-1
NetHandle NET-0-0-0-0-1
Parent
NetType IANA Special Use
Comment Please see RFC 3330 for additional information.
RegDate
Updated 2002-10-14
OrgAbuseHandle IANA-IP-ARIN
OrgAbuseName Internet Corporation for Assigned Names and Number
OrgAbusePhone +1-310-301-5820
OrgAbuseEmail abuse@iana.org
OrgTechHandle IANA-IP-ARIN
OrgTechName Internet Corporation for Assigned Names and Number
OrgTechPhone +1-310-301-5820
OrgTechEmail abuse@iana.org
- ARIN WHOIS database, last updated 2007-05-06 19:10
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 58439
Url: https://administrator.de/contentid/58439
Printed on: April 25, 2024 at 03:04 o'clock
3 Comments
Latest comment
Hallo Ricki!
Das koennte ein Public Web-Proxy sein, wie z.B. der von http://www.freezoo.org, wenn Du bitte einmal die IP-Whois Daten vergleichen moechtest:
http://www.publicwebproxies.com/proxies/735.html
Sie haben die gleiche CIDR- Adresse...
Ein Blick in RFC3330 klaert dann auch dementsprechend auf:
"0.0.0.0/8 - Addresses in this block refer to source hosts on "this"
network. Address 0.0.0.0/32 may be used as a source address for this
host on this network; other addresses within 0.0.0.0/8 may be used to
refer to specified hosts on this network [RFC1700, page 4]."
Da scheinst Du wohl einen Proxy zu benutzen...oder?
Es kann aber auch irgendeine Applikation sein, die Du installiert hattest und der Du eine "Berechtigung" zugesprochen hattest.
Auf welchen Port wird denn zugegriffen?
saludos
gnarff
Das koennte ein Public Web-Proxy sein, wie z.B. der von http://www.freezoo.org, wenn Du bitte einmal die IP-Whois Daten vergleichen moechtest:
http://www.publicwebproxies.com/proxies/735.html
Sie haben die gleiche CIDR- Adresse...
Ein Blick in RFC3330 klaert dann auch dementsprechend auf:
"0.0.0.0/8 - Addresses in this block refer to source hosts on "this"
network. Address 0.0.0.0/32 may be used as a source address for this
host on this network; other addresses within 0.0.0.0/8 may be used to
refer to specified hosts on this network [RFC1700, page 4]."
Da scheinst Du wohl einen Proxy zu benutzen...oder?
Es kann aber auch irgendeine Applikation sein, die Du installiert hattest und der Du eine "Berechtigung" zugesprochen hattest.
Auf welchen Port wird denn zugegriffen?
saludos
gnarff
Hallo,
Danke für die Antwort. Feld Port ist leer, also kein Eintrag. Ich liste mal alle Details auf:
No: 00032 (Eintrag Nr.)
VPN: (leer)
Date: May 16
Time: 09:42:00 PM
Protocol: IGMP
SourceIP: 0.0.236.30
SourcePort: (leer)
DestinationIP: 192.168.0.2 (Interne Verbindung der Fritzbox)
DestinationPort: (leer)
Diese Einträge stehen wie schon erwähnt in der Hardware-Firewall, welche sich "hinter" der Fritz-Box befindet. Die Hardware-Firewall erkennt die Verbindung von 0.0.236.30 zur internen IP der Fritz-Box. Wie kann das sein wenn die Hareware-Firewall hinter der Fritzbox liegt. Dieser dürfte doch den Verkehr zwischen der Fritzbox im dem Internet gar nicht mitbekommen, oder liege ich jetzt falsch?
Falls ich richtig liege, müsste demnach die IP 0.0.236.30 von der Hardware-Firewall oder vom internen Netz stammen. Sollte die IP vom internen Netz stammen, müsste doch die Regel (Block) die ich erstellt habe den Verkehr zu dieser IP sperren!?
...Proxy benutze ich keinen. Was ist das für ein "Public Web Proxies"? Ich habe keinerlei Einstellungen bezüglich eines solchen Proxys durchgeführt. Kann es sein dass die Firewall von Werk aus diesen benutzt? In den Einstellungen/Handbuch finde ich keinerlei Hinweise.
MfG
Danke für die Antwort. Feld Port ist leer, also kein Eintrag. Ich liste mal alle Details auf:
No: 00032 (Eintrag Nr.)
VPN: (leer)
Date: May 16
Time: 09:42:00 PM
Protocol: IGMP
SourceIP: 0.0.236.30
SourcePort: (leer)
DestinationIP: 192.168.0.2 (Interne Verbindung der Fritzbox)
DestinationPort: (leer)
Diese Einträge stehen wie schon erwähnt in der Hardware-Firewall, welche sich "hinter" der Fritz-Box befindet. Die Hardware-Firewall erkennt die Verbindung von 0.0.236.30 zur internen IP der Fritz-Box. Wie kann das sein wenn die Hareware-Firewall hinter der Fritzbox liegt. Dieser dürfte doch den Verkehr zwischen der Fritzbox im dem Internet gar nicht mitbekommen, oder liege ich jetzt falsch?
Falls ich richtig liege, müsste demnach die IP 0.0.236.30 von der Hardware-Firewall oder vom internen Netz stammen. Sollte die IP vom internen Netz stammen, müsste doch die Regel (Block) die ich erstellt habe den Verkehr zu dieser IP sperren!?
...Proxy benutze ich keinen. Was ist das für ein "Public Web Proxies"? Ich habe keinerlei Einstellungen bezüglich eines solchen Proxys durchgeführt. Kann es sein dass die Firewall von Werk aus diesen benutzt? In den Einstellungen/Handbuch finde ich keinerlei Hinweise.
MfG
Hallo,
kein Grund zur Aufregung, das verwendete Protokll ist IGMP [Das Internet Group Management Protocol], siehe hierzu auch:
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
In deinem Fall duerfte es sich um IGMP V3 handeln, wie in RFC 3376 beschrieben:
"This document specifies Version 3 of the Internet Group Management
Protocol, IGMPv3. IGMP is the protocol used by IPv4 systems to
report their IP multicast group memberships to neighboring multicast
routers. Version 3 of IGMP adds support for "source filtering", that
is, the ability for a system to report interest in receiving packets
*only* from specific source addresses, or from *all but* specific
source addresses, sent to a particular multicast address. That
information may be used by multicast routing protocols to avoid
delivering multicast packets from specific sources to networks where
there are no interested receivers."
Siehe RFC 3376 im Wortlaut:
http://tools.ietf.org/html/rfc3376#section-4
saludos
gnarff
kein Grund zur Aufregung, das verwendete Protokll ist IGMP [Das Internet Group Management Protocol], siehe hierzu auch:
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
In deinem Fall duerfte es sich um IGMP V3 handeln, wie in RFC 3376 beschrieben:
"This document specifies Version 3 of the Internet Group Management
Protocol, IGMPv3. IGMP is the protocol used by IPv4 systems to
report their IP multicast group memberships to neighboring multicast
routers. Version 3 of IGMP adds support for "source filtering", that
is, the ability for a system to report interest in receiving packets
*only* from specific source addresses, or from *all but* specific
source addresses, sent to a particular multicast address. That
information may be used by multicast routing protocols to avoid
delivering multicast packets from specific sources to networks where
there are no interested receivers."
Siehe RFC 3376 im Wortlaut:
http://tools.ietf.org/html/rfc3376#section-4
saludos
gnarff
