Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 10. Dez 2018 6:04

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 08. Feb 2009 14:07 
Offline

Registriert: 30. Mai 2007 7:23
Beiträge: 4
Hi,
In letzter Zeit stürzt mein Internet Router ständig ab, da ich in diesem Zusammenhang schon mal gehört habe dass sich der log vollgeschrieben haben könnte habe ich mal einen Blick in /var/log/messages geworfen:

...
Feb 8 14:02:06 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=41868 OPT (94040000) PROTO=2
Feb 8 14:02:21 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=43357 OPT (94040000) PROTO=2
Feb 8 14:02:37 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=44894 OPT (94040000) PROTO=2
Feb 8 14:02:52 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=46469 OPT (94040000) PROTO=2
Feb 8 14:03:08 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=47972 OPT (94040000) PROTO=2
Feb 8 14:03:23 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=49482 OPT (94040000) PROTO=2
Feb 8 14:03:39 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=51024 OPT (94040000) PROTO=2
Feb 8 14:03:54 (none) user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=217.0.119.146 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=52575 OPT (94040000) PROTO=2
...

Kann damit jemand was anfangen? Versucht da wer krumme Dinge? Wie kann ich diese IP blocken so dass der Log nicht mehr vollgespammed wird?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 08. Feb 2009 16:40 
Erstmal wird die Anfrage geblockt (erkennbar an dem DROP), ansonsten versucht die Quelle 217.0.119.146 Deine (eigentlich Ihre) multicastknoten anzusprechen.
Zumindest ist die 224.0.0.1
die Summe aller _lokalen_ Multicastnnoten, was daraus schließen läßt, daß auch Du eine 217er Adresse auf Deinem externen Interface hast?

Was das Logschreiben angeht, so solltest Du Dir entweder abgewöhnen, alles geblockte zu loggen oder eine Rotation oder alternative Loggingmethode (remote oder Datenbank) zulegen.

Auch ulog läßt sich wohl gut zum Loggen von iptables Einträgen konfigurieren, z.B. um nicht jedes Paket, sondern Gruppen zu loggen, allerdings steige ich durch ulogd auch noch nicht durch, deshalb mit Vorsicht.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 09. Feb 2009 15:53 
Ich habe gerade festgestellt, bei mir macht mein WLAN Router diese mulitcastanfragen regelmäßig.
Warum? Keine Ahnung


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Feb 2009 10:07 
Offline

Registriert: 30. Mai 2007 7:23
Beiträge: 4
erstmal danke fuer die antwort und sorry fuer die spaete rueckmeldung.

genau, bei mir handelt es sich auch um einen wlan router, ist von der firma linksys. meine externe ip ist jedenfalls keine 217er. ist aber auch egal wenn es nur was lokales ist.

ich habe den log mal einen tag lang verfolgt und es kommen da verdammt viele eintraege von allen moeglichen ips zusammen. fuer mich ist dies der einzige anhaltspunkt den ich im moment habe bezueglich den spontan aufgetretenen abstuerzen.

nun weiss ich leider nicht wie ich dieses logging abstellen kann, das webinterface bietet zwar eine solche option, jedoch scheint die fuer ein "anderes" logging zustaendig zu sein..


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Feb 2009 6:55 
Nun kenne ich Deinen Router nicht, aber bei meinem kann ich einstellen, das er auf einen anderen Rechner logged (remote syslog). Und da Dein log sehr nach iptables aussieht, wird das bei Dir sicher auch gehen.

Hat natürlich den Nachteil, das die Logs, die erzeugt werden, wenn der loghost unten ist, weg sind, was mich aber nicht stört, denn wenn kein Rechner oben ist, kann da so ziemlich passieren, was will, aber die Kiste läuft nicht voll.

Ansonsten kenne ich abstürzende Router hauptsächlich von vielen Filesharern, die mit ihren vielen Verbindungen einfach die Hardware überfordern.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Feb 2009 11:35 
Offline

Registriert: 30. Mai 2007 7:23
Beiträge: 4
ich habe keine ahnung welche firewall zum einsatz kommt, eigentlich bedient man das geraet hauptsaechlich ueber das webinterface. ist ein linksys wrt irgendwas ;)

filesharer bin ich nicht aber ich habe dennoch oft massiven traffic im lan da ich einen media server betreibe der dvds und aehnliches hostet. der router stuerzt aber auch ab wenn ich mal nur im internet surfe und sonst nichts mache....


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de