PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall Log und EDonkey Irrsinn



MadMax
28.01.2003, 17:36
Hallo! Meine Frage hat nicht direkt mit Spam zu tun, aber vielleicht weiss trotzdem wer `ne Antwort, weil diese Sache mindestens genauso "netzverschmutzend" ist, wie Spam!
Ich habe einen Router und mit ISDN hatte ich immer fein die Firewall in die Syslog loggen lassen.
Seit ich DSL habe, ist das aber ein Ding der Unmoeglichkeit bzw. der sichere Festplattentod, auf Dauer! Hier ein Auszug:

---snip---
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 200.160.228.XXX:4831 80.133.20.XXX:4662 L=48 S=0x00 I=35660 F=0x4000 T=111 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 200.58.172.XXX:1639 80.133.20.XXX:4662 L=48 S=0x00 I=64041 F=0x4000 T=114 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=17 218.63.70.XXX:10043 80.133.20.XXX:137 L=78 S=0x00 I=53055 F=0x0000 T=113(#17)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 217.225.220.XXX:64950 80.133.20.XXX:4662 L=52 S=0x00 I=58213 F=0x4000 T=123 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 200.58.172.XXX:1639 80.133.20.XXX:4662 L=48 S=0x00 I=63941 F=0x4000 T=114 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 80.129.126.XXX:3019 80.133.20.XXX:4662 L=48 S=0x00 I=58670 F=0x4000 T=124 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 217.82.195.XXX:4154 80.133.20.XXX:4662 L=52 S=0x00 I=27143 F=0x4000 T=124 SYN (#20)
Jan 28 xx:xx:xx router kernel: Packet log: input REJECT ppp0 PROTO=6 80.129.126.XXX:3019 80.133.20.XXX:4662 L=48 S=0x00 I=58280 F=0x4000 T=124 SYN (#20)
---snap---

Dies geht den ganzen Tag so, ohne Unterbrechung und die Festplatte kommt nicht annaehernd zur Ruhe.
Nun meine Frage: habe ich nur das Pech und bekomme zufaellig bei JEDER Einwahl die IP Adresse eines besonders fleissigen EDonkey Nutzers (wegen dem Port 4662)? Habe ich was falsch konfiguriert? Sollte ich auch ICMPs nicht zulassen, damit die Clients wirklich denken, ich sei `tot`?
Oder ist EDonkey so beschraenkt und merkbefreit programmiert, dass die Clients niemals mehr aufhoeren, selbst tote IP Adressen zu triggern?

Mich nervt es jedenfalls, dass ich das Firewall Logging ausschalten MUSS, weil ich sonst am Abend eine 4 MB grosse Syslog habe!

Hat jemand aehnliche Probleme?


Max

cycomate
28.01.2003, 18:58
Nabend.

Dies geht den ganzen Tag so, ohne Unterbrechung und die Festplatte kommt nicht annaehernd zur Ruhe.
Ich lasse Zugriffe auf filesharing ports nicht mehr loggen - aus gutem Grund. Anfragen kommen nach einer Neuanwahl etwa 10-15 pro Sekunde, also setze ich die Regel auf "DENY" (nicht "REJECT", wie Du), und mache den Deppen erstmal das Leben schwer.
Denn:

Oder ist EDonkey so beschraenkt und merkbefreit programmiert, dass die Clients niemals mehr aufhoeren, selbst tote IP Adressen zu triggern?
bingo.
edonkey ist es egal, ob Du ein reject, ein rst oder gar nichts sendest - es wird fleißig weiterprobiert. edonkey ist es sogar egal, ob Du auf pings antwortest oder nicht (übrigens ist keine Antwort auf einen ping ein Hinweis, daß da doch etwas ist, ansonsten käme ein icmp-unreachable).
Wenn jetzt jedoch die eingehenden Pakete ohne Meldung verworfen werden (deny), müssen die Anfragenden immer erst auf einen timeout ihrerseits warten, bis ein erneuter connectversuch stattfindet. Das dürfte die Anfragen auf etwa 1/3 bis 1/10 reduzieren.
Ganz tricky wäre aber ein Verbiegen der route, aber das ist hier nicht das Thema http://img.homepagemodules.de/grin.gif
JM2C, aber die Programmierer dieser wunderbaren tools sollten mal ein bißchen respektieren, daß "nein, hier lauscht kein edonkey client" auch wirklich "nein, hier lauscht kein edonkey client" bedeutet.
edit: ich logge u.a. offensichtliche spoofs. Das nervt auf die Dauer auch:



Jan 24 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=17
10.135.1.244:1035 ###.###.###.###:137 L=78 S=0x00 I=50050 F=0x0000 T=110 (#9)
Jan 25 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=17
10.230.45.86:1261 ###.###.###.###:1434 L=404 S=0x00 I=33481 F=0x0000 T=116 (#9)
Jan 27 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=17
192.168.0.111:1029 ###.###.###.###:137 L=78 S=0x00 I=30175 F=0x0000 T=112 (#12)
Jan 27 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=17
10.10.1.108:1035 ###.###.###.###:1434 L=404 S=0x00 I=37736 F=0x0000 T=113 (#9)
Jan 28 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=17
10.10.30.32:1036 ###.###.###.###:137 L=78 S=0x00 I=61046 F=0x0000 T=110 (#9)
Jan 28 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=6
10.18.34.58:80 ###.###.###.###:64044 L=1452 S=0x00 I=58455 F=0x4000 T=56 (#9)
:
Jan 28 xx:xx:xx firewall kernel: Packet log: input DENY ppp0 PROTO=6
10.18.34.58:80 ###.###.###.###:64102 L=1452 S=0x00 I=33354 F=0x4000 T=56 (#9)
___________________________
http://www.cycdolphin.net/pix/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

MadMax
28.01.2003, 19:21
Hi!
Ich habe den besagten Port jetzt auf DENY geschaltet und siehe da: tatsächlich kommen pro IP nur 4-6 Anfragen und dann ist Schnauze! http://img.homepagemodules.de/laugh.gif
Aber jetzt wollen wir doch mal NOCH interessanter werden! Kann ich die Ports nicht irgendwo hinleiten? Zum Beispiel auf sie selber zurück? Mh.
Leute, die Urheberrechte mit Füßen treten und auch noch so intensiv, daß ein Firewall Log unmöglich wird, gehören bestraft! http://img.homepagemodules.de/heart.gif

Max

cycomate
28.01.2003, 19:41
Aber jetzt wollen wir doch mal NOCH interessanter werden! Kann ich die Ports nicht irgendwo hinleiten? Zum Beispiel auf sie selber zurück? Mh.
Kannst Du gerne machen. Wie bereits oben erwähnt entweder das routing für die IPs ändern oder dynamische firewallregeln (redirect) erstellen.

___________________________
http://www.cycdolphin.net/pix/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de