Unitymedia Komische Einträge im Firewall-Log

[BadBunny]

Mir ist heute, bei der Durchsicht der Logfiles meiner Firewall, was seltsames aufgefallen. Und zwar müllt mir etwas das Logfile regelrecht zu

2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52177 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:20+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:35 SRC=10.122.64.1 DST=255.255.255.255 LEN=309 TOS=0x00 PREC=0x00 TTL=255 ID=52180 PROTO=UDP SPT=67 DPT=68 LEN=289
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52691 PROTO=UDP SPT=67 DPT=68 LEN=287
2012-05-10T11:23:39+02:00 wnr3500l kernel: DROP IN=vlan2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:26:cb:d5:ac:d9:08:00:45:00:01:33 SRC=10.122.64.1 DST=255.255.255.255 LEN=307 TOS=0x00 PREC=0x00 TTL=255 ID=52694 PROTO=UDP SPT=67 DPT=68 LEN=287

IN=vlan2 ist der WAN Eingang und die IP stammt aus einem privaten (dem UM Netz?), also bekomme ich massig Anfragen von UM. Ist das normal und vor allem warum?

 

[josen]

Moinsen,

schauen wir uns das doch mal genauer an. Zuerstmal hast du im Feld MAC drei MAC-Adressen:
- FF:FF:FF:FF:FF:FF
Das ist die Broadcast-Mac Adresse

- 00:26:cb:d5:ac:d9
Das ist ein PHY von Cisco

- 08:00:45:00:01:35
Und ein PHY von einer "Concurrent Computer Corp"

Bei UDP Source-Port 67 und Destination-Port 68 müssten bei dir die Klingen schellen, Kollege *grins* Das ist DHCP! (Siehe hier: http://www.linklogger.com/UDP67_68.htm).
Und weil es ein Paket von einem speziellen Server an die Broadcast-IP ist, sind das DHCP-Offers vom Unitymedia an neue Clients in deinem Netzsegment.

Was ich interessant finde ist, dass du die sehen kannst. Ich vermute mal, du hängst an einem CISCO Modem und keiner Fritz!BOx UND hast 802.1q aktiviert? Wenn du das alles gerne mal genauer erforschen möchtest, kannst du auf deinem Linux-Router mal ein TCPDump mitlaufen lassen, dass alle Pakete von diesem UM-Server aufzeichnet und das resultierende PCAP (auch gerne per PN) mir zuschicken. Aufzeichnen würde so gehen:

tcpdump -i <DeinEthX> -s 65535 -w aufzeichnung.pcap host 10.122.64.1

Grüße

 

[piotr]

Ist normal, wenn man zwischen Kabelmodem und dem Router (Netgear WNR3500L) noch eine zusaetzliche Firewall aufbaut.

Nur dann sollte man auch schon wissen was da so alles durchlaufen muss.

Oder macht die zusaetzliche Firewall bei Dir auch noch die Router-Funktion?
Dann baendige mal eher Deinen Netgear WNR3500L, der DHCP-Anfragen ins UM Netz sendet.
Denn das sind die Antworten darauf.

 

[BadBunny]

Der Netgear ist sowohl Firewall als auch Router. Schickt seine logs nur an einen Syslogserver statt sie lokal vorzuhalten.

 

[piotr]

Solange Du keine regelmaessig alle 60min auftretenden Probleme mit Abbruechen von allen IP-basierten Verbindungen hast, wuerde ich das ignorieren.

Ansonsten bei Netgear melden, sofern Du die originale Netgear Firmware in der aktuellen Version nutzt.
Bei Nutzung einer alternativen Firmware (z.B. DD-WRT/OpenWRT) wuerde ich das mit der aktuellen Netgear Firmware gegentesten und falls sich das auf die alternative Firmware eingrenzen laesst entsprechend dort nach einer neuen Version schauen bzw. dann bei denjenigen melden, die die alternative Firmware veroeffentlicht haben.

 

[BadBunny]

Das gleiche hab ich mit einem D-Link Router auch da heisst es nur anders, genau wie mit OpenWRT, Tomato oder der Originalfirmware.
Eine Fritzbox 7170 zeigt leider keine logs an, aber auch dort blinkt sich der WAN Port des Modems tot, macht also das gleiche.

 

[piotr]

Ich sehe daraus nur, dass Du Dich mit DHCP und auch mit anderen Protokollen beschaeftigen solltest.