SFW2-INext-DROP-DEFLT IN=

Knappe · 29 Jan. 2010

Hallo,

ich bekomme seit dem Update vom SuSE 11.2, X86_64 2.6.31.5-0.1-desktop ständig die nachfolgenden Meldungen in mein System-Log:

Jan 29 21:22:13 kernel: [171658.100926] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=136 TOS=0x00 PREC=0x00 TTL=251 ID=29464 DF PROTO=UDP SPT=53 DPT=53786 LEN=116
Jan 29 21:22:13 kernel: [171658.145823] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=152 TOS=0x00 PREC=0x00 TTL=251 ID=29467 DF PROTO=UDP SPT=53 DPT=41099 LEN=132
Jan 29 21:22:13 kernel: [171658.148811] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=69 TOS=0x00 PREC=0x00 TTL=251 ID=29468 DF PROTO=UDP SPT=53 DPT=4715 LEN=49
Jan 29 21:22:14 kernel: [171658.501329] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=124 TOS=0x00 PREC=0x00 TTL=251 ID=29470 DF PROTO=UDP SPT=53 DPT=41825 LEN=104
Jan 29 21:22:15 kernel: [171660.143440] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=136 TOS=0x00 PREC=0x00 TTL=251 ID=29471 DF PROTO=UDP SPT=53 DPT=51810 LEN=116
Jan 29 21:22:43 kernel: [171687.954718] SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:AA:BB:CCD SRC=62.2.xx.xx DST=192.168.x.x LEN=58 TOS=0x00 PREC=0x00 TTL=251 ID=54695 DF PROTO=UDP SPT=53 DPT=47075 LEN=38

Das ist nervig und ich würde das gerne abschalten.
Allerdings hilft die Option "Log Only Critical" in der Firewall Configuration vom YaST2 nicht.

Irgendeine Idee ?

spoensche · 30 Jan. 2010

Die Meldungen stehen im Logfile, weil sie als kritisch eingestuft werden und die Logfunktion auszuschalten ist nicht empfehlenswert.
Bei der Quell IP-Adresse wird es sich vermutlich um die IP- Adresse des DNS- Servers deines ISP' s handeln. Ob es der DNS- Server deines Providers könntest du sicherheitshalber mal überprüfen.

Knappe · 30 Jan. 2010

wird es sich vermutlich um die IP- Adresse des DNS- Servers deines ISP' s

Auch, aber eben nicht nur.

Aber warum das Ganze erst seit der Version 11.2 ?

spoensche · 1 Feb. 2010

Knappe schrieb:
wird es sich vermutlich um die IP- Adresse des DNS- Servers deines ISP' s

Zum Vergrößern anklicken....

Auch, aber eben nicht nur.

Wenn es nicht nur der / die DNS- Server deines Providers würde ich mal nachforschen, wer oder was eine Verbindung zu dir aufbauen will.

Knappe schrieb:
Aber warum das Ganze erst seit der Version 11.2 ?

Das standardmäßig alle von aussen neu aufgebauten Verbindungen verworfen und geloggt werden ist nicht erst seit 11.2 so.

Knappe · 2 Feb. 2010

Das ist nervig und ich würde das gerne abschalten.

???? Wie ???, wenn

Die Meldungen stehen im Logfile, weil sie als kritisch eingestuft werden und die Logfunktion auszuschalten ist nicht empfehlenswert.

das zutrifft ?

Das standardmäßig alle von aussen neu aufgebauten Verbindungen verworfen und geloggt werden ist nicht erst seit 11.2 so.

Interessant.
Es würde bedeuten, daß zum Zeitpunkt der Umstellung von OpenSuSE 11.1 auf 11.2 gleichzeitig auch der Provider und andere versuchen Verbindungen aufzubauen, denn seit diesem Zeitpunkt verstopfen die Meldungen erst das Syslog (als rd. 3 Wochen).

Das finde ich eher unwahrscheinlich ...

framp · 2 Feb. 2010

Code:

iptables -I INPUT -i eth0 --dport 53 -j DROP

in /etc/sysconfig/scripts/SuSefirewall-config sollte das Problem lösen.

SFW2-INext-DROP-DEFLT IN=

Knappe

Hacker

spoensche

Moderator

Knappe

Hacker

spoensche

Moderator

Knappe

Hacker

framp

Moderator