Erstmal Danke an alle.
Tobias Koenig wrote:
On Thu, Jan 03, 2002 at 08:17:29PM +0100, Rico Koerner wrote:
Hallo,
Hallo Rico,
die Firewall (iptables) hat mir folgendes Paket rausgefischt:
Jan 3 16:30:36 intranet kernel: DROP-ICMP IN= OUT=eth0 SRC=192.168.20.1 DST=192.168.20.88 LEN=56 TOS=0x00 PREC=0xC0 TTL=255 ID=34583 DF PROTO=ICMP TYPE=11 CODE=0 [SRC=192.168.20.88 DST=207.26.131.137 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=15380 PROTO=ICMP TYPE=8 CODE=0 ID=768 SEQ=32569 ]
Die beteiligten Rechner: A 192.168.20.88 = Windows-Laptop B 192.168.20.1 = Linux-Router/Firewall C 207.26.131.137 ???
Da scheint jemand ein traceroute auf dem Host 192.168.20.88 laufen zu lassen.
traceroute, darauf bin ich nicht gekommen. Es war aber kein vom User gestartetes Programm. Es war auch kein Laptop sondern eine HP-(PC)-Kiste, wie mir der dortige Admin heut mitteilte. Mit einem Brut-Force-Find ;-) auf der Festplatte fand sich auch die IP in einer Datei, welche zum Treiber einer HP-Multimediatastatur gehörte. Da die Tastatur nicht mehr existiert, konnte dieser entfernt werden und nun herrscht Ruhe.
Jaja nicht nur E.T. will nach Hause telefonieren. Von HP-Printservern hab ich dieses Verhalten auch schon erlebt. :-(
Von dort wurde nämlich ein 'ping request' (Packetinformationen zwischen den Klammern) abgeschickt, mit einer TTL von 1. Dieses Packet erreicht also
echo-request hab ich auch festgestellt, das mit der TTL ist mir entgangen.
gerade mal den 1. HOP (192.168.20.1) und hat dort nun eine TTL von 0. Das veranlasst den Router, ein Timeout-ICMP Packet zurückzuschicken, das nun in deiner Firewall hängen bleibt.
Wieder was dazugelernt. :-)
Ein traceroute darauf verliert sich übrigens bei 20 Hops.
Danke an Konrad für's abschreiben der ICMP-Type-Liste. ;-) Nach langem vergeblichen Suchen in den Linux-Howtos wußte google einen Weg zur passenden Information. Mein Firewallbuch lag gestern unerreichbar zuhause.
Rico