/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
ICMP ids - hvad er dette
Fra : cykelsmeden


Dato : 22-02-05 20:13

Mit IDS system i min firewall leverer en mængde af disse oplysninger:
Date:
02/21 15:36:36
Name:
ICMP Destination Unreachable (Communication Administratively
Prohibited)

Priority:
3
Type:
Misc activity

IP info:
10.1.10.201:25 -> 80.164.127.112:2742

References:
none found







10.1.10.201 er vor mailservers interne adresse bag firewallen, porten
selvsagt smtp.
den angivne til-adresse og port 80.164.127.112:2742 er skiftende i hvert
eneste entry.

Har nogen en forklaring på hvad der sker?

finn



 
 
Kasper Dupont (22-02-2005)
Kommentar
Fra : Kasper Dupont


Dato : 22-02-05 22:29

cykelsmeden wrote:
>
> Har nogen en forklaring på hvad der sker?

Du bliver nok nødt til at give en lidt mere
detaljeret forklaring af din netværkstopologi
hvis vi skal have en chance for at forklare det.

--
Kasper Dupont

cykelsmeden (24-02-2005)
Kommentar
Fra : cykelsmeden


Dato : 24-02-05 12:06

>> Har nogen en forklaring på hvad der sker?
>
> Du bliver nok nødt til at give en lidt mere
> detaljeret forklaring af din netværkstopologi
> hvis vi skal have en chance for at forklare det.
>
> --
> Kasper Dupont
Ok, jeg prøver at forklare det på en anden måde:

Jeg har en mailserver på DMZ 10.1.10.210 som naturlig er åben på port 25,
og der er naturligvis åbent i firewallen fra min officielle
postserveradresse port 25 til den interne adresse port 25.
Firewallens IntrusionDetectionSystem fortæller så mange gange dagligt at min
postserver sender ICMPpakker til en masse forskellige maskiner fra
forskellige porte.
Jeg er ikke bekendt med at sådan ICMPtrafik fra en postserver er normalt, og
fejlmeddelsen fra IDSloggen indikerer jo også at det er unormalt.
Mit spørgsmål er så:
1. Hvad kan tænkes at udløse sådan trafik?
2. Er det nogen udefra som anvender postserveren til at probe fremmede
servere.?
3. Kan det forhåbentligt utænkelige at min postserver (som er en windows-
men ikke microsoft-mail) tænkes at være angrebet af noget?
Da det har stået på meget længe, og jeg ikke har mærket andet usædvanligt,
tager jeg fænomenet roligt, men forsøger naturligvis at forstå hvad der går
for sig!

finn



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408930
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste