Re: Sinn von logcheck
*Peter Schütt* wrote:
(Du könntest ruhig die Einleitungszeile stehen lassen. Hier fehlen
Verweise auf den/die Vorposter)
>>> Außerdem kommen immer tausende von diesen Logs in der Mail und auf der
>>> Console:
>>>
>>> Apr 5 16:07:02 MyLinux kernel: IN=eth0 OUT=
>>> MAC=01:00:5f:7f:ef:fb:40:06:0e:71:8d:8a:08:00 SRC=192.168.4.1
>>> DST=239.255.255.250 LEN=390 TOS=0x00 PREC=0x00 TTL=4 ID=5248 PROTO=UDP
>>> SPT=1900 DPT=1900 LEN=370
>>
>> Verwendest du shorewall oder ähnliches ?
>
> Nicht bewußt ;-) Aber ich habe vor langer Zeit mal iptables eingerichtet.
Dann hast du sicherlich auch eine Regel zum protokollieren
abgewiesener(?) Pakete eingefügt;) Ohne sinnvollen Vorspann wirst du es
schwer haben, die entsprechende Regel herauszufinden.
>>> Ist das was ernstes und wenn nein, wie kann ich das abschalten?
>>
>> Wüsste ich das auf deinem Server / Rechner shorewall installiert ist
>> würde ich nun sagen, dass der Versuch hier zu verbinden durch die
>> Firewall geblockt wurde. In dem Auszug siehst du ja von welcher IP und
>> welchem Port zu welcher Ip und deren Destination Port verbunden wurde.
>> Spontan würde ich nun behaupten das ein interner Rechner versucht hat
>> von innen über den 1900 Port zu verbinden.
>
> 192.168.4.1 ist mein Router. Wieso sollte der über Port 1900 meinen Rechner
> ansprechen?
Siehe http://de.wikipedia.org/wiki/Simple_Service_Discovery_Protocol,
dein Router versucht irgend etwas im lokalen Netzwerk bekannt zu geben;)
Schau dir mal /usr/share/doc/logcheck/README.logcheck an.
Je nachdem wie du logcheck konfiguriert hast werden mehr oder weniger
Meldungen verschickt. Außerdem kannst du Meldungen, welche für dein
Netzwerk 'normal' sind, von logcheck ignorieren lassen.
(Die restlichen Meldungen deuten u.a. auf nicht ganz zu Ende
konfigurierte VmWare/Samba hin.)
HTH und Gruß, Michel
--
fortunes:
Aus Murphy's Gesetze:
Auf der anderen Fahrspur kommt man immer schneller voran.
Reply to: