Hallo Liste, seit paar Tagen in /var/log/messages ist eine (fuer mich) unverstaendliche Meldung zu sehen :
Dec 15 13:48:51 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6375 PROTO=TCP SPT=4662 DPT=52805 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 15 13:48:52 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1492 TOS=0x00 PREC=0x00 TTL=113 ID=46797 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:48:56 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=44 TOS=0x00 PREC=0x00 TTL=117 ID=6477 DF PROTO=TCP SPT=4662 DPT=52810 WINDOW=17424 RES=0x00 ACK SYN URGP=0 Dec 15 13:48:57 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1188 TOS=0x00 PREC=0x00 TTL=113 ID=47553 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:48:58 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1340 TOS=0x00 PREC=0x00 TTL=113 ID=47653 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:48:59 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=44 TOS=0x00 PREC=0x00 TTL=117 ID=6529 DF PROTO=TCP SPT=4662 DPT=52810 WINDOW=17424 RES=0x00 ACK SYN URGP=0 Dec 15 13:49:05 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=44 TOS=0x00 PREC=0x00 TTL=117 ID=6645 DF PROTO=TCP SPT=4662 DPT=52810 WINDOW=17424 RES=0x00 ACK SYN URGP=0 Dec 15 13:49:06 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1340 TOS=0x00 PREC=0x00 TTL=113 ID=48747 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:49:07 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1340 TOS=0x00 PREC=0x00 TTL=113 ID=48910 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:49:11 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1188 TOS=0x00 PREC=0x00 TTL=113 ID=49592 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:49:16 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1340 TOS=0x00 PREC=0x00 TTL=113 ID=50209 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:49:17 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1340 TOS=0x00 PREC=0x00 TTL=113 ID=50502 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0 Dec 15 13:49:20 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=210.204.24.191 DST=192.168.0.119 LEN=1492 TOS=0x00 PREC=0x00 TTL=113 ID=50799 DF PROTO=TCP SPT=4154 DPT=4662 WINDOW=64056 RES=0x00 ACK PSH URGP=0
wie es sich erkennen laesst erscheint die Meldung fast jede Sekunde. Weiss jemand was er mir sagen will bzw. was soll ich an System aendern damit jene Meldung nicht mehr auftaucht? Ach ja, noch was, es laesst sich kaum mit der Konsole ( also ohne X ) arbeiten da der ganze Bildschirm ploezlich voll von diese Meldung bedeckt wird.
Danke im voraus fuer eure Hilfe!
Gruss Sebastian
Am Do, den 18.12.2003 schrieb Sebastian Stupnicki um 17:42:
Hallo Liste, seit paar Tagen in /var/log/messages ist eine (fuer mich) unverstaendliche Meldung zu sehen :
Dec 15 13:48:51 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6375 PROTO=TCP SPT=4662 DPT=52805 WINDOW=0 RES=0x00 ACK RST URGP=0
Das ist die Firewall!
wie es sich erkennen laesst erscheint die Meldung fast jede Sekunde. Weiss jemand was er mir sagen will bzw. was soll ich an System aendern damit jene Meldung nicht mehr auftaucht?
Hängt von Der Firewall ab. Du musst Ihm sagen, dass er keine Fehler loggen soll.
Ach ja, noch was, es laesst sich kaum mit der Konsole ( also ohne X ) arbeiten da der ganze Bildschirm ploezlich voll von diese Meldung bedeckt wird.
In /etc/init.d/syslog folgendes ändern aus KLOGD_OPTIONS="-2" wird KLOGD_OPTIONS="-4"
Du setzt also die "Empfindlichkeit" des kernellogd herab.
Christoph
Am Do, den 18.12.2003 schrieb Christoph Wickert um 17:08:
Du setzt also die "Empfindlichkeit" des kernellogd herab.
Ich meinte Konsole-Logd :-)
Ich habe Schwachsinn geschrieben! :-)
Am Do, den 18.12.2003 schrieb Christoph Wickert um 17:08:
In /etc/init.d/syslog folgendes ändern aus KLOGD_OPTIONS="-2" wird KLOGD_OPTIONS="-4"
muss heissen:
KLOGD_OPTIONS="-c 4 -2"
Du setzt also die "Empfindlichkeit" des kernellogd herab.
-2 ist die Priorität, -c 4 ist das Loglevel
Tschuldigung, Jungs!
Christoph
und noch einer :-) bzw. Nachtrag
Am Fr, den 19.12.2003 schrieb Christoph Wickert um 01:29:
Ich habe Schwachsinn geschrieben! :-)
Am Do, den 18.12.2003 schrieb Christoph Wickert um 17:08:
In /etc/init.d/syslog folgendes ändern aus KLOGD_OPTIONS="-2" wird KLOGD_OPTIONS="-4"
muss heissen:
KLOGD_OPTIONS="-c 4 -2"
man kann auch nehmen:
KLOGD_OPTIONS="-c 2 -f /var/log/konsolelog -2" ^ sollte reichen ^ loggt in Datei
Du setzt also die "Empfindlichkeit" des kernellogd herab.
-2 ist die Priorität,
nein, auch nicht, wieder Mist geschrieben. Alles weitere man klogd, bevor ich noch mehr Konfusions streue :-)
Ausserdem kannst man auch die Logregeln (-j LOG) rausnehmen, wenn man sich sicher ist, dass man es nicht braucht. Bringt mehr Geschwindikeit.
Christoph
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am Donnerstag, 18. Dezember 2003 17:42 schrieb Sebastian Stupnicki:
seit paar Tagen in /var/log/messages ist eine (fuer mich) unverstaendliche Meldung zu sehen :
Dec 15 13:48:51 localhost kernel: IN=eth0 OUT= MAC=00:10:dc:4b:c2:33:00:80:c8:25:9a:ad:08:00 SRC=81.202.125.72 DST=192.168.0.119 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6375 PROTO=TCP SPT=4662 DPT=52805 WINDOW=0 RES=0x00 ACK RST URGP=0
[snip]
wie es sich erkennen laesst erscheint die Meldung fast jede Sekunde. Weiss jemand was er mir sagen will bzw. was soll ich an System aendern damit jene Meldung nicht mehr auftaucht?
Du brauchst nie solange Logs schreiben, um eine Diskussion einzuleiten, wenn es eh nur das gleiche ist.... Aber zur Sache. Es geht hier um Pakete, die deinem Kernel auffallen, wenn ich alles richtig lese, Netzwerkpakete. Die erste Vermutung wäre, dass du IPTABLES laufen lässt (also irgendeine Art von Routing oder Paketfilterung ("Firewalling"), was diese Ergebnisse ausspuckt. Interessant ist, dass die Quelle (SRC) vermutlich deiner echten IP entspricht, das merkwürdige Ziel (DST) dürfte dann ein anderer Rechner im Netzwerk sein. Mal ein Schuss ins blaue, als zweite Idee: Du gehst über ein lokales Netzwerk ins Internet, der beschriebene Rechner, der diese Meldungen ausspuckt, ist ein Router, der anderen den Netzzugang ermögicht - auf jedem Fall hat er zwei IP Adressen (einmal die der Telekom, also hier SRC, einmal die lokale, hier DST 192.168.0.119 (ist xxx.xxx.0.xxx eigentlich erlaubt?! Ich dachte, das geht erst bei 1 los!)). Jetzt versucht der Rechner über die Internet-Schnittstelle was an die lokale Adresse 192.168.0.119 zu schicken, was logischerweise fehlschlagen muss, da es verboten ist (RFC weiss ich gerade nicht auswendig), da es eine lokale Adresse ist, die nur im lokalen Adressraum genutzt werden darf. Das gibt diese Meldung.
Also: einmal gucken, ob es Auffälligkeiten beim Paketfilter untersuchen (so fern der vorhanden ist), und einmal gucken, ob es Prozesse gibt, die sinnlose Pakete verschicken.
Ach ja, noch was, es laesst sich kaum mit der Konsole ( also ohne X ) arbeiten da der ganze Bildschirm ploezlich voll von diese Meldung bedeckt wird.
Verwirrend, dass diese Fehlermeldungen direkt auf die Konsole geschrieben werden, das müsste man umleiten in eine Datei - Iptables müsste sich entsprechend konfigurieren lassen.
Gruss Sebastian
Roland
de-users@lists.fedoraproject.org