Frage zu Logeintraegen von Netztraffic
Hallo,
habe auf meinem Server neuerdings immer wieder Logeintraege wie diesen,
die ich nicht so recht verstehe:
Mar 9 15:20:24 stralsunder-10 kernel: IN= OUT=eth0 SRC=192.168.3.1
DST=192.168.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP
SPT=137 DPT=137 LEN=58
Ich habe 2 Ethernetinterfaces, die nach innen gehen, und eine ppp-
Verbindung nach draussen.
192.168.3.1 ist eth1 am Server, am anderen Ende (192.168.3.2) haengt
ein Mac. Die Eintraege kommen nur, wenn der Mac online ist. Seltsam ist
aber, dass IN="" und SRC=192.168.3.1 statt IN=eth1 und SRC=192.168.3.2.
DST=192.168.2.255 ist das Subnetz, das an eth0 haengt. Es spielt sich
also alles intern ab; eigentlich sollte es daher keinen Grund zur
Besorgnis geben. Allerdings nerven die Eintraege ob ihrer Vielzahl.
Bevor ich sie jetzt per Ignore in logcheck ausschalte, wollte ich aber
doch noch einmal wissen, was genau da passiert. :-)
Wenn ich es richtig in Erinnerung habe, war Port 137 fuer den RPC-
Dienst zustaendig, ueber den unter Windows immer die neckischen Pop-ups
aus dem Internet direkt auf den Desktop kommen. :-) Auf ppp0 ist dieser
Port daher auch geblockt. Sollte ich das auch fuer eth[01] machen? Was
koennte die Ursache fuer diesen Verkehr sein? Warum laeuft der immer
nur von eth1 zu eth0, nicht aber umgekehrt? Und wieso ist SRC das
lokale Interface, nicht direkt der Mac?
Schoenen Gruss,
Andreas
Reply to: