Re: Brandvägg

To: Karolina Lindqvist <pgd-karolinali@algonet.se>
Cc: <debian-user-swedish@lists.debian.org>
Subject: Re: Brandvägg
From: Johan Bergström <johbe@linux.se>
Date: Tue, 26 Mar 2002 08:31:03 +0100 (CET)
Message-id: <[🔎] Pine.LNX.4.31.0203260821540.4190-100000@c213-100-2-58.swipnet.se>
In-reply-to: <[🔎] rS4LmB.A.9RH.j89n8@murphy>

On Tue, 26 Mar 2002, Karolina Lindqvist wrote:

> Jag installerade ett brandväggprogram med namn "firestarter", nu när jag har
> ADSL-anslutning. Och det verkar som om jag får massvis med hits.
> Jag har mängder på port 113 (auth)  från 130.239.18.137
> (tutankhamon.acc.umu.se)

Kör du IRC t.ex? Kan vara någon service du kör som gör att denna host
pollar din ident.

> en del på port 138 (netbios-dgm) från 192.168.0.1

Detta är din windows maskin som genererar. Allt som kommer från
192.168.x.x är lokala(svarta) ip'n som bara kan användas bakom en
gateway/firewall.

> en del på port 137 (netbios-ns) från 66.190.248.194
> (ts46-01-qdr2239.porch.wa.charter.com)
> en på 137 (netbios-ns) från 209.193.36.103 (
> 209-193-36-103-cdsl-rb1.nwc.acsalaska.net)
>

Jo här blir du säkert scannad efter windowsnätverk. Inget att oroa sig
för, det händer jämnt.

> Vad är det som pågår? Är detta normalt, eller sitter det personer och scannar
> alla förbindelser? (Det droppar in mer träffar från andra maskiner eftersom)

Det är normalt, folk scannar jämnt. Speciellt dom senaste virusen har
gjort att det scannas hejvillt, automatiskt, på webservrarna. Det är lite
obehagligt i början men inget att oroa sig för.

>
> 192.168.0.* måste jag spärra på något sätt, då det är den adress jag använder
> på mitt interna nätverk och därifrån vill jag ha access.  Det fanns en box
> för "Deny all connections from" och där stoppade jag in 192.168.0.*
>

Det är nog inge vidare... se kommentaren ovan om 192.168.x.x

> Hoppsan, jag lyckades stoppa så att jag inte kunde sända iväg mail längre.
> Det ger träffar från 10.0.0.1, 10.0.0.2 på portar som 32780,32781, samt på
> port 32911 och 32912 från min smtp-server. Inget av dessa nummer finns i
> /etc/services.

Highports utnyttjas av olika demoner för olika ändamål. Det är oxå
normalt, man kan ofta stänga av detta men då måste man låsa dom till en
port. Dock så är oftasta hightports helt ofarligt och smidigt. 10.0.0.x
addresser är ännu ett svart nät, jag vet inte om Telenordia har som Telia
ett gigantiskt svart nät som dom routar internt, då kan det ju tänkas att
trafiken kommer därifrån..

> Jag får också träffar från min pop-server på liknande konstiga port-nummer.
> Hoppas det inte är någon fara om jag öppnar dessa.
> Ska jag öppna generellt för 10.0.0.1, 10.0.02, min smtp-server, min
> pop-server och sådant, eller bara öppna för de portar som används, även om
> det blir en lång lista?

Det borde räcka om du öppnar standardportar för de protokoll du vet
används, dvs ssh/smtp/pop eventuellt mer. Låser du highports(1024+) borde
inget ont hända men prova dig fram lite. Det är inte hela världen att
släppa in trafik i en highport range heller, men använd gärna statefull
firewalling då borde detta gå att lösa ändå. Dvs, iptables inte ipchains
eller ipfwadm.

Johbe

--
  Leela: I guess you never really outgrow being an eyeball... oddball.

--
To UNSUBSCRIBE, email to debian-user-swedish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Brandvägg
  - From: Karolina Lindqvist <pgd-karolinali@algonet.se>

References:
- Brandvägg
  - From: Karolina Lindqvist <pgd-karolinali@algonet.se>

Prev by Date: Brandvägg
Next by Date: Re: Brandvägg
Previous by thread: Brandvägg
Next by thread: Re: Brandvägg
Index(es):
- Date
- Thread