Toon posts:

[Firewall] Meldingen over 2815(lbc-measure)

Pagina: 1
Acties:

maandag 27 oktober 2003 23:49

Acties:

Verwijderd

Topicstarter
Heb van het weekend shorewall geinstalleerd, en m'n daarmee m'n firewall wat strakker geconfigureerd.
Echter nu krijg ik regelmatig deze melding:

code:
1

DROP 2003-10-27 23:37:20 followme eth0 UDP resolver2.cistron.net cp105xxx-a.landg1.lb.home.nl 2815(lbc-measure)


Moet ik deze doorlaten, en waar staat deze poort voor? als ik op google zoek kom ik alleen links tegen naar de bekende lijsten met poortnr's en welke services hierbij behoren. Echter een fatsoenlijk uitleg over die lbc-measure kom ik niet tegen.

Ik heb wel die cistron als forwarder in m'n bind config staan.

maandag 27 oktober 2003 23:56

Acties:

Verwijderd

kun je een tcpdump hiervan krijgen?

dinsdag 28 oktober 2003 00:02

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 27 October 2003 @ 23:56:
kun je een tcpdump hiervan krijgen?
hmz, ff proberen ben niet zo goed met dat tcpdump.

dinsdag 28 oktober 2003 00:05

Acties:

Verwijderd

code:
1

tcpdump -i < interface > port 2815


en dan wachten tot ie voorbij komt.

dinsdag 28 oktober 2003 00:09

Acties:

Verwijderd

Topicstarter
Hier is tie:
00:07:54.309209 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 22165+ [1au] A? mailhost5.freehosting.nl. OPT UDPsize=2048 (53) (DF)
00:07:54.344100 resolver1.cistron.net.domain > cp105xxx-a.landg1.lb.home.nl.2815: 22165 1/2/3 A[|domain] (DF)
00:07:54.966670 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 40805+ [1au] PTR? 50.31.216.62.in-addr.arpa. OPT UDPsize=2048 (54) (DF)
00:07:55.000215 resolver1.cistron.net.domain > cp105xxx-a.landg1.lb.home.nl.2815: 40805* 1/2/3 (166) (DF)
00:08:02.135526 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 10901+ [1au] AAAA? followme. OPT UDPsize=2048 (37) (DF)
00:08:02.273389 resolver1.cistron.net.domain > cp105xxx-a.landg1.lb.home.nl.2815: 10901 NXDomain 0/1/1 (112) (DF)
cp105xxx-a.landg1.lb.home.nl.2815: Dat is mijn machine.

Het rare is, het lijkt wel gelijk te zijn, met wanneer ik (of m'n systeem) mail verstuurd naar root@mijndomein.nl

Ik heb zo'n bruin vermoeden dat het met m'n bind (alszijnde caching dns) te maken heeft.


euh. d'r komt steeds meer:
00:12:17.434811 cp105xxx-a.landg1.lb.home.nl.2815 > resolver2.cistron.net.domain: 41070+ A? 15.66.22.217.orbs.dorkslayers.com. (51) (DF)
00:12:17.435562 cp105xxx-a.landg1.lb.home.nl.2815 > resolver2.cistron.net.domain: 20535+ A? xxx.xxx.51.213.orbs.dorkslayers.com. (52) (DF)
00:12:18.742602 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 37721+ [1au] PTR? 188.85.104.211.in-addr.arpa. (56) (DF)
00:12:19.279860 resolver1.cistron.net.domain > cp105xxx-a.landg1.lb.home.nl.2815: 37721 NXDomain 0/1/1 (112) (DF)
00:12:19.659471 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 9888+ [1au] PTR? 210.224.58.164.in-addr.arpa. (56) (DF)
00:12:19.822919 resolver1.cistron.net.domain > cp105xxx-a.landg1.lb.home.nl.2815: 9888 NXDomain 0/1/1 (124) (DF)
00:12:36.465418 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 18887+ A? 15.66.22.217.orbs.dorkslayers.com. (51) (DF)
00:12:36.466812 cp105xxx-a.landg1.lb.home.nl.2815 > resolver1.cistron.net.domain: 1259+ A? xxx.xxx.51.213.orbs.dorkslayers.com. (52) (DF)
00:12:44.474477 cp105xxx-a.landg1.lb.home.nl.2815 > resolver2.cistron.net.domain: 19046+ A? 15.66.22.217.orbs.dorkslayers.com. (51) (DF)
00:12:44.475243 cp105xxx-a.landg1.lb.home.nl.2815 > resolver2.cistron.net.domain: 42291+ A? xxx.xxx.51.213.orbs.dorkslayers.com. (52) (DF)
xxx.xxx.51.213.orbs.dorkslayers.com.

xxx.xxx.51.213 -> is mijn ip ???

[ Voor 53% gewijzigd door Verwijderd op 28-10-2003 00:17 ]

dinsdag 28 oktober 2003 00:27

Acties:

Verwijderd

Dat zijn normale dns lookups zo te zien. Kun je achterhalen welk process de requests verstuurd?

[ Voor 47% gewijzigd door Verwijderd op 28-10-2003 00:28 ]

dinsdag 28 oktober 2003 00:32

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 28 October 2003 @ 00:27:
Dat zijn normale dns lookups zo te zien. Kun je achterhalen welk process de requests verstuurd?
Ik denk dat ik het al zie, m'n gehele DNS gaat nu via die cistron die als forwarders staan ingeschakeld. Denk dat ik nog een poortje moet openen |:( |:(

hmm, raar die staan toch goed:
code:
1
2
3
4

#       Accept DNS connections from the firewall to the network
#
ACCEPT          fw              net             tcp     53
ACCEPT          fw              net             udp     53


Heb die forwarders er ff uitgesloopt, en nu doet m;'n DNS het niet meer.
Had ook recursion=yes weggehaald, DNS doet het nu. Snap alleen niet dat alles via de forwarders ging ??

raar maar blijkbaar waar (morgen nog 's verder onderzoeken), er zit verschil in

code:
1
2
3
4
5
6
7
8

....

        forward first;
        forwarders {
                62.216.31.50;
                62.216.31.60;
                };
....


of

code:
1
2
3
4
5
6

....
        forwarders {
                62.216.31.50;
                62.216.31.60;
                };
        forward first;

in de named.conf

[ Voor 66% gewijzigd door Verwijderd op 28-10-2003 01:26 ]

dinsdag 28 oktober 2003 08:37

Acties:

Verwijderd

Topicstarter
Krijg nu wat :)

Nu krijg ik deze:
followme eth0 UDP resolver2.cistron.net cp105xxx-a.landg1.lb.home.nl 2859(activememory)
Pagina: 1
Reageer