Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Phantom-Pakete oder neue, unbekannte Scan-Verfahren, oder …?

    Deutsch
    1
    1
    1494
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      Guest
      last edited by

      Gegeben: PfSense: 1.2.3-RELEASE auf einem dedizierten Rechner.

      <internet>- [Fritzbox] - [PfSense] - <lan>|
                                              <dmz>- [Server] (Ubuntu Server 10.04)

      Auf dem Server läuft ein Mumble-Server und ein Tor-Relay (Listen-Port: 443).
      Sporadisch tauchen im Log folgende Einträge auf, die so eigentlich nicht vorkommen dürften:

      http://ubuntuone.com/p/ASd/

      Im Rohformat sieht das so aus:

      http://ubuntuone.com/p/ASe/

      Blockiert werden die Pakete durch die Default-Rule. Das Tor-Relay kann nur ausgehende Verbindungen mit Quellport > 1023 aufbauen (festgelegt durch eine IPTables-Regel). Die NAT, bzw. Firewall-Regeln der DMZ sehen so aus:

      http://ubuntuone.com/p/ASb/
         http://ubuntuone.com/p/ASc/

      Die erste Regel habe ich nur zu Testzwecken hinzugefügt, um mehr über diese Pakete zu erfahren. Sie führt aber nie zu einem Logeintrag.
      Auch mit speziellen IPTables-Regeln auf dem Server habe ich diese angeblich ausgehenden Pakete mit Quellport 443 nie 'fangen' können.

      Hat jemand eine Idee, was sich dahinter verbergen könnte?

      Vielen Dank im voraus.</dmz></lan></internet>

      1 Reply Last reply Reply Quote 0
      • First post
        Last post