Firewall Log: ICMP packet permitted?

derwifler

Aktives Mitglied
Thread Starter
Dabei seit
11.03.2006
Beiträge
152
Reaktionspunkte
1
Hallo zusammen,

ich habe zuhause einen Zyxel o2-Router, der mir brav alles logged und als eMail schickt. Ich sitze grad in der Arbeit und mein Mac zuhause ist ausgeschaltet bzw. hängen keine anderen Geräte am Router. WLAN ist ebenfalls ausgeschaltet (passiert per Zeitsteuerung automatisch).

Aktuell werde ich seit heute früh mit vielen Logeinträgen bombardiert, die wie dieser hier aussehen:

1|08/20/2012 11:31:24 |77.4.71.xx |178.217.117.47 |ACCESS PERMITTED
Router reply ICMP packet: ICMP(Port Unreachable)

1. Was ist das?
2. Sorgen machen? Die SRC IP ist o2 (also ggf. der Router selbst), die DST IP ist irgendwo in Polen (das wundert mich).
3. Mich wundert hierbei, daß der Access permitted ist. Eigentlich habe ich die FW schon sehr restriktiv konfiguriert und es sollte alles mögliche verworfen werden. Warum passiert das hier nicht?

Danke Euch schonmal und viele Grüße

Ferdi

p.s.: SRC IP ist absichtlich "anonymisiert"
 
Gegen "Dauerfeuer" von anderen kannst du nicht viel machen, aber du könntest, wenn du den Router tagsüber eh nicht nutzt, ihn per Zeitschaltuhr einfach ausschalten ;-)
Spart Strom und läßt potentielle Bösewichte ins Leere laufen.
 
Hm das wäre eigentlich auch eine Idee....ich schau mir das mal an...

Aber grundlegend: Was IST das überhaupt? Eigentlich hab ich konfiguriert daß alle WAN-Pakete verworfen werden...Warum antwortet mein Router dann nach Polen?
 
ICMP ist Ping, aber darauf antwortet dein Router nicht alles im grünen Bereich, brauchst die keine Sorgen machen...

Allerdings könnte sein, dass er Port unreachable zurück schickt.

Ich schreibe gerade mit dem iPad, was passiert denn, wenn Du dich selbst anpingst?

Ok, konnte es doch testen. Dein Router antwortet auf ICMP...
 
Also wenn "src" du bist und "dest" in polen ist, dann pint dein router fröhlich in polen rum
 
Eben....und genau DAS verstehe ich nicht...

Was sagt der Log?

1. Ping aus Polen -> Antwort vom Router "port unreachable"
2. Ping nach Polen -> Antwort aus Polen "port unreachable"

Who knows?
 
Bist Du sicher, was SRC und was DST im Logfile ist?
 
Weil es ein Broadcast Ping ist...
 
... hi zusammen,

sag mal @derwilfer sitzt Du in der Nähe von München ?

Es ist dein Mac / Router der da "rumpingt" nach Polen ..... du kannst ja mal anrufen bei denen
Hast Du mal so ein Progrämmchen für´s anonyme Surfen installtiert ?

...oder gar einen TROJANER gefangen der seine "nach Hause telefonieren" durch zieht .... ;)
 
Nein, er hat geschrieben, dass die IP nicht dem Router gehört...

PS: es heißt a Mac und nicht an Mac ;-)
 
Hab das Logfile nochmal weiter angeschaut und offenbar ist mein Router NICHT SRC, sondern hat eine andere IP....

Warum sollte an meinem Router ein Paket von einer fremden IP an eine andere freme IP weitergeleitet werden?

https://www.macuser.de/forum/images/smilies/confused.gif

... wenn Du uns weiter im Nebel stehen läßt, kommen wir nicht weiter, was für ein Geheimnis ist denn das ... also bist Du nun bei O2 und benutzen die diesen Netzwerkbereich 77. ..... oder ist das 77. (Kabelfernsehen Muenchen ServiCenter GmbH & Co.KG)
Bist Du dir da sicher, das diese genannten Adressen nicht zu dir gehören .....
...warum sollte der Router diese also protokollieren .... sicher das der Absender des Logfile dein Router ist ?;)
 
Zuletzt bearbeitet:
Vielleicht versteh ich den Humor von NoVisper nicht ganz (man möge mir verzeihen), aber ich will eigentlich nur verstehen, warum hier wild Pakete rumgeschickt werden, die mit mir eigentlich nix zu tun haben (sollten).

btw.: Der Mac ist ausgeschaltet. Also ein Trojaner könnte sonst nur "auf dem Router" laufen *zwinker*

Aber der Broadcast Ping kommt wohl schon recht nahe...
 
... warum hier wild Pakete rumgeschickt werden, die mit mir eigentlich nix zu tun haben (sollten).

...

Aber der Broadcast Ping kommt wohl schon recht nahe...

dann sähe das Log aber anders aus ... Access blocked from .... oder so ähnlich ...
Wenn Du also weiterhin sicher bist das weder die eine noch die andere Adresse zu dir gehören .... dann vergiß es und schalte diese E-mailbenachrichtigungen aus ..... :noplan:
 
1. Netzwerk-Scans auf öffentliche IP-Adressen sind ganz normal und nichts neues.
2. WIE SOLL DENN DEIN ROUTER ANTWORTEN?

Auf einen ICMP-Request gibt es genau 3 Möglichkeiten zu antworten:
1. Ja, Hallo?
2. Hier ist niemand.
3. *ich habe nichts gehört* (silent drop)

Alle 3 Varianten geben mir in ihrer Möglichkeiten Antworten. Selbst ein Silent drop ist eine Form der Antwort. Denn das da jemand ist, weiß ich von dem Router vorher. Also wirklich verstecken ist nicht.

Wenn Du keine Ahnung von Netzwerktechnik hat: Log abschalten, bringt Dir eh nix.
 
  • Gefällt mir
Reaktionen: Hausbesetzer
OK danke, das bringt mich tatsächlich schonmal weiter...silent drop wäre dann wohl das was ich will ;-)
 
Ein silent drop hat die selbe Aussage wie port closed (hier ist niemand). Wer glaubt, dass silent drop mehr Sicherheit gibt, glaubt auch an den Weihnachtsmann.

Wie gesagt, durch den vorgelagerten Router weiß ich eh, dass die IP benutzt ist. Ich sage nur zu kurze TTL.
 
Zurück
Oben Unten