echo Geschrieben 12. Januar 2001 Geschrieben 12. Januar 2001 ola... kann jemand hinweise geben woher diese IP-adresse kommt 62.27.3x.xx...??? das logfile unserer firewall gibt an, das seit ein paar tagen ständig von dieser IP-adresse kommende packete für port 29*** (die letzten drei ziffern sind jeweils unterschiedlich) verworfen werden...?!!! anhand der ip können doch zumindest rückschlüsse auf den provider und/oder das ursprungsland gezogen werden...??? kennt jemand einen provider, dem seine IP's 62.27 beginnen....???? und was könnte auf einen port 29*** laufen...??? alo echo... [Dieser Beitrag wurde von echo am 12. Januar 2001 editiert.] Zitieren
Markus Geschrieben 12. Januar 2001 Geschrieben 12. Januar 2001 Was ist mit den letzten Ziffern ? Sind die variabel oder werden die nicht angezeigt ? Könnte man das ansonsten nicht mit einem Traceroute Proggi nachschauen ? bibi Markus Zitieren
echo Geschrieben 12. Januar 2001 Autor Geschrieben 12. Januar 2001 ola... traceroute ergab, das die IP von einem ISP kommt, bei welchem auch ein ehemaliger arbeitskollege einen account hat... desweiteren ergab traceroute das die anderen IP's, welche selben eintrag im logfile verursachten, von suchmaschinen kommt... ich habe eben eine suchanfrage über eine bei uns installierten suchmaschine (copernikus) abgesetzt und anschließend das logfile der firewall überprüft -> es war wieder ein eintrag vorhanden: packet blocked from [iP unseres providers...???] to [iP des public interface unserer firewall] at port 29012 wie kann eine suchmaschine so einen eintrag verursachen...??? alo echo... [Dieser Beitrag wurde von echo am 12. Januar 2001 editiert.] Zitieren
DevilDawn Geschrieben 12. Januar 2001 Geschrieben 12. Januar 2001 Für die Zuweisung IP -> Netz gibt es BTW das tool "dig" auf Unix-Maschinen: [ae@storm] > dig -x 62.27 ; <<>> DiG 2.0 <<>> -x ;; ->>HEADER<<- opcode: QUERY , status: NOERROR, id: 6 ;; flags: qr rd ra ; Ques: 1, Ans: 4, Auth: 3, Addit: 4 ;; QUESTIONS: ;; 27.62.in-addr.arpa, type = ANY, class = IN ;; ANSWERS: 27.62.in-addr.arpa. 21584 NS ns.nacamar.net. 27.62.in-addr.arpa. 21584 NS dalx1.nacamar.de. 27.62.in-addr.arpa. 21584 NS ns.ripe.net. 27.62.in-addr.arpa. 142605 SOA ns.nacamar.net. dns-admin.nacamar.net. (...) Das genannte Netz scheint also nacamar zu gehören... das heißt nicht, das nacamar es nicht weiter vermietet hat Sind das eigentlich TCP- oder UDP-Packete? Auf High-Ports laufen keine definierten Serverdienste. Vermutlich sind es UDP-Packete die einen vielleich mal existierenden Gameserver erreichen wollen (laufen gerne auf 27000-29000). Sind es SYN-Packete? Ich gehe davon aus, eure Firewall hat eine feste IP Zitieren
echo Geschrieben 12. Januar 2001 Autor Geschrieben 12. Januar 2001 ola... @devil: das logfile der firewall ist leider äusserst spartanisch... es gibt darin weder die hinweise ob UDP od. TCP noch ob SYN od. ACK es steht nur das drin was ich oben in bold geschrieben habe - leider... was die topologie anbetrifft, so kann ich das hier kurz schildern... wir haben eine ISDN Standleitung und von unseren provider einen mietrouter (cisco) der mit seinem publicinterface mit fester IP im internet steht... desweiteren hat das privateinterface eine private IP (192.168.10.254) von dort aus geht es zur firewall, welche auf der publicseite die IP 192.168.10.1 hat und auf der privateseite 192.168.100.1... die firewall hat als gateway eintrag die privateseitige IP des Cisco routers und die maschinen im netz haben als gateway eintrag die privateseitige IP der firewall... bei der firewall handelt es sich um eine superbillige hardwarefirewall von watchguard und nennt sich SOHO... die sicherheitspolices sind auf default eingestellt, was da bedeutet allowed incoming services -> no services defined blocked outgoing services -> no services defined ich denke mal das hört sich alles ziemlich akzeptabel an... lediglich das logfile ist mehr als sperlich in seiner ausführung... alo echo... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.