Arch Linux

Router:224.0.0.1

BlauBeer

ich hab in letzten Zeit versucht eine Firewall mit iptables für meine PC einzurichten - nun kamen auch Packete die nicht zu einer bestimmt Regel passten, dies wurde dann "gedropt" (iptables -P INPUT DROP)

da es meiner Meinung nach recht viele Packete waren die durch die defaulte Einstellung verworfen werden, lies ich die mal mitloggen:

Sep  9 22:29:37 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:31:42 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:33:47 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:35:52 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:37:57 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:40:02 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Sep  9 22:42:07 localhost kernel: DEBUG: Rest IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:1f:3f:4b:e5:23:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

wiso sendet die FritzBox alle 2min und 5sec so einen "ALL-SYSTEMS.MCAST.NET" Packet?

nun will ich alle nicht an mich adressierten Packete verwerfen, aber die beiden Möglichkeiten gehehn nicht:

iptables -A INPUT ! --destination 127.0.0.1,192.168.178.26 -j DROP
iptables -A INPUT -m iprange ! --src-range 127.0.0.1,192.168.178.26 -j DROP

edit:
Problem 2 gelöst:

zuerst wird alles von lo akzeptiert und danach alles was nicht an 192.168.178.26 ist gedropt

[gelöscht]

Die Multicast Pakete sind dafür da ... hoffe das dies richtig ist ... dass die Fritz!Box (Hab i.Ü. auch so nen Teil) weiß, ob nen PC noch da ist oder eben nicht. Anhand des übermittelten Hostnamen bekommst du durch deine Fritz!Box Netzwerkintern auch nen DNS-Namen ... <hostname>.fritz.box

BlauBeer

vielen dank, da ich ja schon einen DNS-Namen von der FritzBox bekommen habe, kann ich die Anfragen ja getrost verwerfen

die Fritzbox braucht doch nicht über dieses Multicast Paket zu überprüfen, ob ich online bin oder nicht - das müsste die doch schon merken wenn ich an sie Pakete schick die es weiterrouten darf

[gelöscht]

Also laut Google.de ist die IP 224.0.0.1 der IGMP Proxy der Fritz!Box Firewall (http://de.wikipedia.org/wiki/IGMP). Das soll laut diversen Angaben der Nachfolger für DHCP oder so sein. Keine Ahnung, denn mich juckt es nicht bzw. meine PC's sind nicht mit einer Firewall (ausgenommen die FB) ausgestattet. Würde sogar stark behaupten, dass dies u.a. was mit UPNP zu tun hat. Solange meine Fritz!Box das macht was sie soll, ist mir dass alles egal ... die wird demnächst sowieso wieder dem Linksys-Router weichen müssen, zumindestens in Sachen Internet-Zugang.

mpausch

BlauBeer schrieb nun will ich alle nicht an mich adressierten Packete verwerfen, aber die beiden Möglichkeiten gehehn nicht:
iptables -A INPUT ! --destination 127.0.0.1,192.168.178.26 -j DROP
iptables -A INPUT -m iprange ! --src-range 127.0.0.1,192.168.178.26 -j DROP

die gehen nicht, weil bei --destination nur 1 Adresse kommen kann.
Und eine range gibt man mit z.B. so an 1.2.3.4-1.2.3.29... Ausserdem würde eine Range von 127.0.0.1 bis 192.168.178.26 auch nicht wirklich Sinn machen.

encbladexp

224.0.0.0/8 ist das gute alte Multicast. Das wird für viele Sachen verwendet, u.a. UPnP, Avahi und sonstwas.

Natürlich nicht alle dieses Netz, aber halt eines der Multicast Netze.

Generell ist natürlich die Frage vor was dich ein iptables Paketfilter auf einem Rechner hinter dem NAT eigentlich schützen soll? Das NAT leitet nur Pakete weiter die zu einer bestehenden Verbindung gehören, oder in Abhängigkeit einer bestehenden Verbindung entstanden sind (FTP). Ausgenommen davon sind natürlich Portweiterleitungen, die externe öffentliche Ports an deinen Client weiterleiten, doch diese muss man aktiv eintragen.

Du könntest natürlich noch dem Router gesagt haben das er alles an eine bestimmte interne IP Routen soll das von extern kommt, das wäre dann je nach Router ne DMZ oder auch dieser komische "Server Mode" den es da immer wieder in der Konfiguration gibt.

mfg Betz Stefan