Hi! Am Wed, 02 Aug 2006 21:26:44 +0200 schrieb Joerg Zimmermann <j.zimmermann@xsiteing.de>: > Könntest Du davon einen tcpdump-Mitschnitt senden? Ok, hab auch direkt einen Treffer gelandet (das Ganz kommt nämlich nur so 1-3 mal pro Stunde vor. Aus /var/log/daemon.log: ----8<---- Aug 3 00:49:15 elbereth named[27143]: dispatch 0x82177a8: shutting down due to TCP receive error: connection reset Aug 3 00:49:16 elbereth named[27143]: dispatch 0x82177a8: shutting down due to TCP receive error: connection reset ---->8---- elbereth:~# tcpdump tcp port 53 ----8<---- tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 00:49:15.401561 IP elbereth.intern.dahlmann.net.57196 > ip-68-178-211-201.ip.secureserver.net.domain: S 324446473:324446473(0) win 5840 <mss 1460,sackOK,timestamp 594682738 0,nop,wscale 0> 00:49:15.588176 IP ip-68-178-211-201.ip.secureserver.net.domain > elbereth.intern.dahlmann.net.57196: S 2056054616:2056054616(0) ack 324446474 win 5840 <mss 1452,sackOK,timestamp 594682738 0,nop,wscale 0> 00:49:15.588286 IP elbereth.intern.dahlmann.net.57196 > ip-68-178-211-201.ip.secureserver.net.domain: . ack 1 win 5840 <nop,nop,timestamp 594682925 594682738> 00:49:15.588804 IP elbereth.intern.dahlmann.net.57196 > ip-68-178-211-201.ip.secureserver.net.domain: P 1:60(59) ack 1 win 5840 <nop,nop,timestamp 594682926 594682738> 330% [1au][|domain] 00:49:15.772734 IP ip-68-178-211-201.ip.secureserver.net.domain > elbereth.intern.dahlmann.net.57196: R 1:1(0) ack 1 win 5840 <nop,nop,timestamp 594682925 594682738> 00:49:16.014073 IP elbereth.intern.dahlmann.net.57197 > ip-64-202-165-202.secureserver.net.domain: S 322018682:322018682(0) win 5840 <mss 1460,sackOK,timestamp 594683351 0,nop,wscale 0> 00:49:16.201716 IP ip-64-202-165-202.secureserver.net.domain > elbereth.intern.dahlmann.net.57197: S 1869801305:1869801305(0) ack 322018683 win 5840 <mss 1452,sackOK,timestamp 594683351 0,nop,wscale 0> 00:49:16.201810 IP elbereth.intern.dahlmann.net.57197 > ip-64-202-165-202.secureserver.net.domain: . ack 1 win 5840 <nop,nop,timestamp 594683539 594683351> 00:49:16.202267 IP elbereth.intern.dahlmann.net.57197 > ip-64-202-165-202.secureserver.net.domain: P 1:60(59) ack 1 win 5840 <nop,nop,timestamp 594683539 594683351> 40868% [1au][|domain] 00:49:16.387429 IP ip-64-202-165-202.secureserver.net.domain > elbereth.intern.dahlmann.net.57197: R 1:1(0) ack 1 win 5840 <nop,nop,timestamp 594683539 594683351> ---->8---- Hmm, die IPs sagen mir übrigens gar nichts. Ich hab die URLs, die ich eben aufgerufen habe, überprüft; da scheint nichts dergleichen dabei gewesen zu sein (also auch nicht auf den Links der Seiten). Allerdings heißt das wahrscheinlich nichts, denn ich bekomme die Log-Meldungen auch zu Zeiten, in denen hier wirklich NIEMAND ist, von daher könnte ich mir vorstellen, dass Spamassassin das auch mit einem seiner Checks hervorrufen könnte. Hilft Dir der TCP-Dump irgendwie? Auffällig ist übrigens, dass die beiden Meldungen immer genau mit einer Sekunde Abstand aufeinander folgen. Ich habe das gerade mal mit den anderen Log-Einträgen verglichen, das ist in der Tat immer so. > Ich denke das liegt nicht an Deinem BIND, sondern an der Gegenseite. > Möglicherweise baut die Gegenseite die Verbindung nicht korrekt ab. > Das sollte aber keine negativen Auswirkungen auf Dein System haben. OK, schonmal beruhigend. > Du solltest TCP [53] schon zulassen. Auch nach außen völlig freigegeben? > > Außerdem stealtht mein Router nicht, sondern blockt. Also eigentlich > > könnte Bind doch auf seinem eigenen Anfrage-Weg auch etwas zurück > > bekommen, oder? > > Keine Ahnung was Du meinst, _was_ blockt Dein Server denn genau? Hmm, da die Router irgendwie alle für bestimmte Dinge verschiedene - teilweise aus dem Zusammenhang gerissene - Fachbegriffe für gewisse Dinge nutzen, bin ich in der Hinsicht mit diesen Begriffen etwas verwirrt. Bei mir im Router ist das dort sog. "SPI + Anti-DoS" ausgeschaltet. Das verhindert erstmal, dass man beim Scannen über z.B. scan.sygate.com "nur" noch "blocked". Das macht es mir dann auch möglich, in den Router-Einstellungen einzelne Ports für einzelne IPs nach außen freizugeben. Nach meiner Erfahrung lässt dies dann auch Kommunikation zu, die über Stealth GAR nicht gehen. Z.B. habe ich letztens gemerkt, dass man sich zu einem BOINC-Projekt nicht hinzufügen kann, wenn der Router auf Stealth steht. Auch die Kommunikation zu Razor2 und DCC (durch Spamassassin) funktioniert so. Bei "richtigen" Firewalls in Firmen musste ich dort spezielle Ports per iptables noch freigeben, bei meinem Router muss ich das nicht. Da ich seeehr lange ISDN hatte und noch nicht soo lange Router-erfahren bin, hört da meine Kenntnis, wann nun welcher Port nur bei einer Anfrage geöffnet wird und wann gar nicht, usw, auch leider schon auf. :o) Um aber Deine Frage zu beantworten: Mein Router blockt fast alles außer ein paar wenige Ports, die ich mir (z.B. für SSH) nach außen freigegeben habe. LG, Ace -- () ASCII Ribbon Campaign - against HTML mail /\ - against Microsoft attachments http://www.efn.no/html-bad.html http://www.goldmark.org/netrants/no-word/attach.html
Attachment:
signature.asc
Description: PGP signature