PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [OT] Firewall Hilfe gesucht (Router Netgear DG824B)



Sven Bernert
10.01.2004, 17:27
Hallo,

ich krieg von meinem Netgear DG824B jetzt neuerdings fast minütlich solche listings, kann mir jemand erklären, was 'UDP packet dropped' heisst. Sind das PortScan's?

Danke,
Sven

Hier ein kleiner Auszug:

Sat, 2004-01-10 16:44:29 - UDP packet dropped - Source:213.96.67.221
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:44:36 - UDP packet dropped - Source:213.168.108.78
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:44:39 - UDP packet dropped - Source:219.248.94.160
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:44:59 - UDP packet dropped - Source:81.60.84.216
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:45:01 - UDP packet dropped - Source:217.126.223.105
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:45:03 - UDP packet dropped - Source:211.221.59.184
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:45:06 - UDP packet dropped - Source:80.25.115.145
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]
Sat, 2004-01-10 16:45:09 - UDP packet dropped - Source:81.220.103.38
,65535 WAN - Destination:217.226.249.156,65535 LAN - [Inbound Default rule match]

gonzo
10.01.2004, 17:57

gonzo
10.01.2004, 18:03
'dropped' bedeutet, dass Dein Router auf das Paket kein weiteres Paket zur Reaktion sendet.
Bei UDP könnte er auch ein ICMP port unreachable an den Absender des UDP Paketes zurücksenden (beim TCP Protokoll entspricht dies einem RST-Paket). Bei Firewalls nennt man sowas dann 'reject' .

Prinzipiell musst Du dir über solche Fehlermeldungen keine Sorgen machen.

Einige Hersteller von Access Routern haben jedoch leider eingebaute Hersteller-Passworte (z.B. für die Fernadministration über SNMP), so dass schon einige dieser Geräte aus dem Internet gehackt wurden. Nun ja, ich weiss, warum ich mir meinen Access Router selbst gebaut habe...

Sven Bernert
10.01.2004, 20:11
<i>[gonzo schrieb am 10.01.04 um 17:03:57]

> Prinzipiell musst Du dir über solche Fehlermeldungen
> keine Sorgen machen.
</i>

Hallo Gonzo,

da bin ich ja einigermassen beruhigt. Es nervt nur eben weil ich etwa aller 5 Minuten ein solches Log mit etwa 500 Zeilen und immer den gleichen Meldungen erhalte.

Ich bekomme, allerdings SEHR selten, auch noch die folgenden beiden Meldungen:
2004-01-08 20:19:41 - TCP Flood - Source:192.168.0.3
,1806,LAN - Destination:69.56.148.140,80,WAN

Source ist hier immer die gleiche (interne) Adresse (192.168.0.3)


und die hier, mit der ich allerdings garnichts anfangen kann:
2003-12-29 21:19:56 - IP Spoofing - Source:192.168.120.254
,0,LAN - Destination:239.255.255.250,0,WAN

Weisst Du auch was diese beiden Meldungen bedeuten?

Nachmals danke für Deine Hilfe.
Sven

gonzo
11.01.2004, 13:15
Leider machen personal Firewalls u.ä. immer wieder mal aus einer Mücke einen Elefant. Wenn z.B. ein Stück Software auf deinem Rechner mehrere Verbindungen pro Sekunde zum selben Ziel aufmacht (z.B. Popup-Fenster beim Web Browsen), dann wird das von so einer Software schon mal als Sicherheitsproblem (TCP Flood, SYn Flood) dramatisiert.

Aber bei Dir sieht das ganz danach aus, dass sich einige Software-Komponenten (Trojaner, Spyware, Adware) auf Deinem Rechner eingeschlichen haben, die Unsinn treiben.

Besorg Dir mal nen Virenscanner.

Joerg Eckert
11.01.2004, 16:46

Joerg Eckert
11.01.2004, 16:49
Hast Du den Router/Firewall einfach nur in Betrieb genommen oder auch (hart) konfiguriert?
Hast Du Dein Admin-Passwort geaendert? (auf was aus Buchstaben und Zahlen)


Goldene Regel bei Firewalls:

Nichts(!) darf rein oder raus solange ich es nicht erlaubt habe!
Und danach wird wirklich nur das erlaubt was absolut notwendig ist.

Zumindest ist das bei mir so. Mag ein wenig Paranoia sein, aber nur so kann man nen Firewall vernuenftig administrieren.

gruss JOerg

Sven Bernert
11.01.2004, 16:50
Hab mich auch mit gonzo ausserhalb dieses Thread's geimst :-)

Hab tagesaktuelle Virenscanner (Norton und McAffee), ausserdem noch Ad-aware 6 und mache alle 2/3 Tage einen Großscan. Kann aber nichts finden :-(

Gibt's noch andere Möglichkeiten so eine Laus zu finden?

Gruß,
Sven

Joerg Eckert
11.01.2004, 16:53
oder aber das Logging am Firewall verfeinern. Wird aber hier wahrscheinlich nicht gehen nehme ich an? (kenne den Netgear nicht und muesste direkt davorsitzen...)

Kannst mir ja mal nen Logfile zuschicken...

gruss JOerg

Sven Bernert
11.01.2004, 16:54
Hallo Jörg,

hab nur UPnP enabled, deshalb: (Check Enable UPnP to allow your gateway to be configured dynamically using UPnP)

Keine anderen Regeln. Muß zu meiner Schande gestehen, dass ich auch nicht weiss, wie das geht. Muß mir wohl mal professionelle Hilfe holen.