Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 14. Nov 2018 13:03

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: iptables LOG und syslogd
BeitragVerfasst: 18. Sep 2007 8:10 
Hallo, ich habe folgedes Problem .. und zuwenig Ahnung :?

Ich habe ein (fertiges) Firewall-Script vom IPCop, welches Portscanns loggen soll:

Auszug:
Code:
Chain BADTCP (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x01
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
    0     0 NEWNOTSYN  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
Code:
Chain PSCAN (5 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `TCP Scan? '
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `UDP Scan? '
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `ICMP Scan? '
    0     0 LOG        all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `FRAG Scan? '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
Das machts aber nicht oder nur sehr selten, werfe ich nmap auf die Netzwerkkarte an
:(

Kennt sich Einjemand gut damit aus und kann mir sagen, warum
- in der /var/log/messages nicht oder extrem selten Scanhinweise auftauchen?
- die syslodg nicht darufhin auf kern.info ablässt?

Viele Grüsse
sumsi


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 23. Mär 2008 18:48 
Tja,
zwar schon älter der Beitrag, aber naja:

In der BADTCP wird als Match in jeder Regel das TCP Protokoll angegeben.
In der PSAN Chain soll dann unterschieden werden zwischen TCP, UDP und ICMP ?

Da kann eigentlich nie "UDP-Scan?" oder"ICMP-Scan?" erscheinen, und "FragScan?" nur, wenn beim vorher abgefragten Flag im TCP noch zusätzlich opt=-f ist.

Obs nen bug ist?


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de