michi1983
Jul 13, 2010, updated at 08:43:11 (UTC)
view4973
view2
0
Goto Top

Iptables Log

GermansolvedQuestionVB for ApplicationsDevelopment
Sonnigen guten Tag allen miteinander!

Hab heute mal das Logfile von iptables durgeschaut und habe ein paar Einträge gefunden die meinen Printserver (Linksys PSUS4) betreffen. IP: 192.168.2.13

Jul 13 10:30:24 scalix kernel: [126739.842515] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59731 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:30:54 scalix kernel: [126769.837564] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59732 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:31:24 scalix kernel: [126799.833568] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59733 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:31:54 scalix kernel: [126829.828616] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59809 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:32:24 scalix kernel: [126859.924641] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59810 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:32:54 scalix kernel: [126889.919639] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59882 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:33:24 scalix kernel: [126920.015676] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59883 PROTO=UDP SPT=138 DPT=138 LEN=209 
Jul 13 10:33:54 scalix kernel: [126950.010728] DEFAULT INPUT DROP: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:6b:e8:23:f8:08:00 SRC=192.168.2.13 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=30 ID=59884 PROTO=UDP SPT=138 DPT=138 LEN=209

Ich interpretiere das so, dass der Printserver über den UDP Port 138 "irgendetwas" macht face-smile Ich habe versucht den Port 138 in meiner iptables Konfiguration mal zu öffnen. Aber die Meldungen kommen weiterhin.
Könnt ihr mir vielleicht helfen das etwas genauer zu interpetieren ?

Gruß, Michael

//Edit:
Zu meiner Netzwerk-Struktur:
Linux-Server (fileserver, dhcp-server, dns-server, iptables) -> Switch -> Clients
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 146786

Url: https://administrator.de/contentid/146786

Printed on: April 16, 2024 at 22:04 o'clock

2 Comments
Latest comment
Goto Top
Member: aqui
aqui Jul 13, 2010 at 09:13:18 (UTC)
Goto Top
Das sind wie man an der Ziel Adresse sieht ja Port 138 netbios-dgm bzw. NetBIOS datagram UDP Broadcast Pakete die an alle im Segment gehen. Typische Naming Broadcasts mit denen sich der PS vermutlich im Netz bekannt macht (oder bei dir bekannt machen will).
Vermutlich filtern deine IPtables entweder Broadcasts oder UDP 138 Pakete. Wenn die Message weiterhin auftaucht wird auch weiter gefiltert.
Falls dieser Filter richtung Internet geht also wenn du Masquerading machst und den Linux als Router benutzt ist das durchaus normal, denn UDP 138er Broadcast Frames haben im Internet nix zu suchen !
Member: michi1983
michi1983 Jul 13, 2010 at 09:16:31 (UTC)
Goto Top
Okay, dann scheint ja alles zu passen.
Die Linux Kiste ist Router und masquerading wird auch gemacht!
Danke aqui!

Gruß
GermansolvedQuestionVB for ApplicationsDevelopment
More from michi1983michi1983NAT explainedmichi1983 - 3 Comments
Hotly discussed
DaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment