Page 1 of 1

Ständige Router abstürze -> Log vollgeschrieben?

Posted: 08. Feb 2009 14:07
by raku
Hi,
In letzter Zeit stürzt mein Internet Router ständig ab, da ich in diesem Zusammenhang schon mal gehört habe dass sich der log vollgeschrieben haben könnte habe ich mal einen Blick in /var/log/messages geworfen:

...
Feb 8 14:02:06 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=41868 OPT (94040000) PROTO=2
Feb 8 14:02:21 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=43357 OPT (94040000) PROTO=2
Feb 8 14:02:37 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=44894 OPT (94040000) PROTO=2
Feb 8 14:02:52 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=46469 OPT (94040000) PROTO=2
Feb 8 14:03:08 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=47972 OPT (94040000) PROTO=2
Feb 8 14:03:23 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=49482 OPT (94040000) PROTO=2
Feb 8 14:03:39 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=51024 OPT (94040000) PROTO=2
Feb 8 14:03:54 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=52575 OPT (94040000) PROTO=2
...

Kann damit jemand was anfangen? Versucht da wer krumme Dinge? Wie kann ich diese IP blocken so dass der Log nicht mehr vollgespammed wird?

Posted: 08. Feb 2009 16:40
by Fulter
Erstmal wird die Anfrage geblockt (erkennbar an dem DROP), ansonsten versucht die Quelle 217.0.119.146 Deine (eigentlich Ihre) multicastknoten anzusprechen.
Zumindest ist die 224.0.0.1
die Summe aller _lokalen_ Multicastnnoten, was daraus schließen läßt, daß auch Du eine 217er Adresse auf Deinem externen Interface hast?

Was das Logschreiben angeht, so solltest Du Dir entweder abgewöhnen, alles geblockte zu loggen oder eine Rotation oder alternative Loggingmethode (remote oder Datenbank) zulegen.

Auch ulog läßt sich wohl gut zum Loggen von iptables Einträgen konfigurieren, z.B. um nicht jedes Paket, sondern Gruppen zu loggen, allerdings steige ich durch ulogd auch noch nicht durch, deshalb mit Vorsicht.

Posted: 09. Feb 2009 15:53
by Fulter
Ich habe gerade festgestellt, bei mir macht mein WLAN Router diese mulitcastanfragen regelmäßig.
Warum? Keine Ahnung

Posted: 11. Feb 2009 10:07
by raku
erstmal danke fuer die antwort und sorry fuer die spaete rueckmeldung.

genau, bei mir handelt es sich auch um einen wlan router, ist von der firma linksys. meine externe ip ist jedenfalls keine 217er. ist aber auch egal wenn es nur was lokales ist.

ich habe den log mal einen tag lang verfolgt und es kommen da verdammt viele eintraege von allen moeglichen ips zusammen. fuer mich ist dies der einzige anhaltspunkt den ich im moment habe bezueglich den spontan aufgetretenen abstuerzen.

nun weiss ich leider nicht wie ich dieses logging abstellen kann, das webinterface bietet zwar eine solche option, jedoch scheint die fuer ein "anderes" logging zustaendig zu sein..

Posted: 12. Feb 2009 6:55
by Fulter
Nun kenne ich Deinen Router nicht, aber bei meinem kann ich einstellen, das er auf einen anderen Rechner logged (remote syslog). Und da Dein log sehr nach iptables aussieht, wird das bei Dir sicher auch gehen.

Hat natürlich den Nachteil, das die Logs, die erzeugt werden, wenn der loghost unten ist, weg sind, was mich aber nicht stört, denn wenn kein Rechner oben ist, kann da so ziemlich passieren, was will, aber die Kiste läuft nicht voll.

Ansonsten kenne ich abstürzende Router hauptsächlich von vielen Filesharern, die mit ihren vielen Verbindungen einfach die Hardware überfordern.

Posted: 12. Feb 2009 11:35
by raku
ich habe keine ahnung welche firewall zum einsatz kommt, eigentlich bedient man das geraet hauptsaechlich ueber das webinterface. ist ein linksys wrt irgendwas ;)

filesharer bin ich nicht aber ich habe dennoch oft massiven traffic im lan da ich einen media server betreibe der dvds und aehnliches hostet. der router stuerzt aber auch ab wenn ich mal nur im internet surfe und sonst nichts mache....