On Tue, 23 Mar 1999, Stefan Reinhardt wrote:
>
> Hallo Listenleser,
> habe leider schneller geschrieben als gedacht, oder umgekehrt??
Passiert.
>
> Also:
> Auf mein offizielles Netz (g�ltige IP's, Class C-Netz) greift ein
> unbekannter von au�en (S�dkorea oder sonstwo..., aber nat�rlich �bers
> Internet) zu.
Er sendet Dir pings?
Er probiert irgendwelche Ports?
> Meine Logs geben mir eine IP Adresse aus meinem eigenen Netz
> als Client an. Diesen Client habe ich aber nicht eingerichtet, es gibt ihn
> sogar definitiv nicht in unserem Netz (auch kein "b�ser" Mitarbeiter).
> Jetzt frage ich mich, wie kann dieser "Fremde" so tun als ob er aus meinem
> Netz kommt? Denn ich habe doch den Nameserver (auth). Und ich habe die
> Routen verteilt usw. --> Diese IP-Adresse darf absolut keinen R�ckweg im
> Internet bekommen.....
Wieso darf sie das nicht?
Du hast eine offizielle IP. Er auch. Er tut so, als haette er eine
von Deinen ("IP spoofing"). Seine Pakete werden ganz normal an Dich
geschickt, weil sie ja Deine IP als Ziel haben. Der Nameserver oder
sowas spielt dabei IMHO keine Rolle.
> wie kann so etwas dann doch passieren? Und viel
> wichtiger wie kann ich das verhindern.
> Sonst bringt mir die z.B. Anweisung deny !local nichts........
Ich weiss nicht, was Du benutzt, um Pakete zu blocken (ipchains?).
Bei mir steht in meinem Firewall-Script eine Regel der Art:
ipfwadm -I -a deny -o -S 192.168.0.0/24 -W eth0
Das bedeutet, alle auf dem aeusseren IF (eth0) einkommenden Pakete mit
einer Quelle aus meinem internen Netz blocken und protokollieren.
(Hab ich aus dem Kopf aufgeschrieben, also keine Gewaehr!).
Rgds.
Heiko.
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
