martis Geplaatst: 30 november 2009 Geplaatst: 30 november 2009 Hallo Ik heb hier een linux server met clarkconnect draaien. Nu heeft de firewall iemand geblokkerd , met inbraak preventie alleen ik kan nergens iets weer vinden in de logs files wat er aan de hand is.. Iemand een idee waarom deze is geblokkeerd , en waar ik het kan vinden mischien in de logs van clarkconnect , ben ze allemaal bij langs geweest alvast bedankt Je moet niet steeds dezelfde fouten maken, er is keus genoeg.
jopiesat Geplaatst: 30 november 2009 Geplaatst: 30 november 2009 Bij reports, intrusion prevention kun je zien om welke IP adressen het gaat. Bij reports, logs kies je de file 'secure' en even zoeken wat er is gebeurd. Deze file is te vinden in \var\log, waar ook de 'messages' file staat. Als het al langer geleden gebeurd is: secure.1 etc.... Succes! Daar vind je dit soort meldingen: Nov 26 02:03:44 kerberos snort[4471]: [1:2009584:1] ET SCAN NMAP -sS window 4096 [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 213.8.92.145:46656 -> 192.168.178.2:12174 Mijn ervaring is dat je daar de meeste poortscans tegenkomt die de firewall actief 24 uur blokkeert.
martis Geplaatst: 30 november 2009 Auteur Geplaatst: 30 november 2009 DNS SPOOF query response with TTL of 1 min. and no authority [Classification: Potentially Bad Traffic] [Priority: 2]: {UDP} 192.168.*.*:53 -> 192.168.*.*:35924 dit komt ook vaak voor mijn adsl/router die verbinding maakt met de server is hier wat niet goed Je moet niet steeds dezelfde fouten maken, er is keus genoeg.
martis Geplaatst: 30 november 2009 Auteur Geplaatst: 30 november 2009 en dit is de persoon die word geblokt door de firewall dit staat er. ET SCAN NMAP -sA (2) [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 81.70.206.165:2276 -> 192.168.*.* en (portscan) TCP Portsweep[Priority: 3]: {PROTO:255} 192.168.*.*-> 81.70.206.165 heb met de sterren mijn ip adress verborgen Je moet niet steeds dezelfde fouten maken, er is keus genoeg.
jopiesat Geplaatst: 30 november 2009 Geplaatst: 30 november 2009 De alarmeringen op poort 53 heb ik ook, clarkconnect denkt dat het DNS antwoord van je eigen router niet helemaal te vertrouwen is. Vals alarm, kun je rustig negeren. Overigens zijn je 192.168 adressen veilig hoor, hoef je geen sterretjes voor neer te zetten. Deze zijn namenlijk uit de private range die iedereen gebruikt. Als je het echt vervelend vind kun je al het verkeer dat afkomstig is uit je eigen netwerk negeren met een negeer regel. Zoek maar eens op bpf.conf bestanden op internet. Regel om dit soort meldingen te negeren is dan: not src net 192.168 De laatste is ernstiger. Degene achter ip adres 81.70.xxx (van provider Online) probeert de open poortjes op jouw netwerk even uit op open poortjes. En het gekke is dat je dat zelf bij deze host terug doet. (onderste) Toevallig een vriendje die bij je komt kijken en ietwat nieuwsgierig is? Normaal zet ik dit soort grapjassen gewoon bij het inkomende IP filter in de firewall, dan gebeurt er helemaal niks meer :-).
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen