Firewall Drop_input

ange12lo

Newbie
Dabei seit
Sep. 2014
Beiträge
5
Hallo Miteinander.

Ich bin Neu hier, bin 22 Jahre alt und aus der Schweiz.

Ich habe seit einigen Tagen einen merkwürdigen Drop auf der Firewall, einige werden ja meinen solang es gedroppt wird ist alles gut. Jedoch nimmt es mich trotzdem wunder was es ist.

das Bild Spricht für sich, jede Minute kommt eine Verbindungsversuch von Port 2 zu Port 2.
Dies von der IP:1.1.1.1 und als Ziel ist meine Multicast Adresse 224.0.0.1 .

Was mich auch wunder nimmt von wo die Mac Adresse Stammt die Rechts im bild ist. Die Mac Adresse Stammt von einem Thomson Gerät, Ich hab jedoch kein Thomson Gerät im haus.
image.png

Vielen Dank im Voraus

Gruss Angelo:)
 

d2boxSteve

Commander
Dabei seit
Apr. 2010
Beiträge
2.983
Multicasts sind oft vom Router ... bist du sicher dass in deinem Router keine Thomson Chips drin sind? Bei uns hier in D gibts auf jeden Fall viele Thomson Router/Modems .....
 

ange12lo

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Das Hab ich mir auch schon gedacht, vor der Firewall ist ein Router der auf Bridge gestellt ist, ob der einen Thomson Chip drin hat kann ich nicht beurteilen.
 

ange12lo

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Provider: Ich selbst (Swisscom) ich arbeite beim Provider.

Den Router des Providers (Motorola) hab ich als Bridge konfiguriert, von da aus geht es Auf einen mini PC auf den RED Interface, Auf dem Minirechner läuft IPFIRE.
Ich vermute wie mein Vorredner schon sagte das es von der Bridge(ehemaliger Router) kommt, Da für das Swisscom TV Multicast verwendet wird.
Ich finde aberin der Bridge nirgends eine einstellung wo ich die Multicast abfrage deaktivieren könnte.
 

FloBrand

Cadet 4th Year
Dabei seit
Aug. 2014
Beiträge
112
Provider: Ich selbst (Swisscom) ich arbeite beim Provider.

Den Router des Providers (Motorola) hab ich als Bridge konfiguriert, von da aus geht es Auf einen mini PC auf den RED Interface, Auf dem Minirechner läuft IPFIRE.
Ich vermute wie mein Vorredner schon sagte das es von der Bridge(ehemaliger Router) kommt, Da für das Swisscom TV Multicast verwendet wird.
Ich finde aberin der Bridge nirgends eine einstellung wo ich die Multicast abfrage deaktivieren könnte.
Dein IPFIRE steht also direkt im Internet? Glückwunsch, ich hab dir dafür mal was rausgesucht: https://www.youtube.com/watch?v=C0iErNNzrFg
 

ange12lo

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Was bitte sol daran schlecht sein wenn die Firewall direkt im internet steht? Und nenn mir mal wo das nicht so gemacht wird.
 

error

Lt. Commander
Dabei seit
Aug. 2007
Beiträge
1.193
Moin und willkommen bei Computerbase :)

Dein IPFIRE steht also direkt im Internet? Glückwunsch, ich hab dir dafür mal was rausgesucht: unützer YT-Link
@FloBrand: Ich verstehe dich nicht. Die Firewall trennt das interne Netzwerk vom Internet. Was soll daran unüblich sein?

Aber zurück zum Thema.
Es kann sein, dass jemand die IP spooft und eben einfafch wild "rumspielt". MAc-Adressen können auch einfach gefälscht werden.
An sich musst du dir keine Sorgen machen, da die Firewall alles filtert.

Wenn du schon beim Provider arbeitest, gibt das doch mal an die Jungs von der IT-Sicherheit weiter. Die können dann deinen Traffic genauer untersuchen und finden vielleicht auch die Ursache.

Zu der IP findest du in der WHOIS-Abfrage folgendes:
inetnum 1.1.1.0 - 1.1.1.255
netname APNIC-LABS
descr Research prefix for APNIC Labs
descr APNIC
country AU
admin-c AR302-AP
tech-c AR302-AP
mnt-by APNIC-HM
mnt-routes MAINT-AU-APNIC-GM85-AP
mnt-irt IRT-APNICRANDNET-AU
status ASSIGNED PORTABLE
changed hm-changed@apnic.net 20140507
changed hm-changed@apnic.net 20140512
source APNIC
[...]
remarks ++++++++++++++++++
remarks + Address blocks listed with this contact
remarks + are withheld from general use and are
remarks + only routed briefly for passive testing.
remarks +
remarks + If you are receiving unwanted traffic
remarks + it is almost certainly spoofed source
remarks + or hijacked address usage.
remarks +

[...]
 
Zuletzt bearbeitet:

FloBrand

Cadet 4th Year
Dabei seit
Aug. 2014
Beiträge
112
Moin und willkommen bei Computerbase :)


@FloBrand: Ich verstehe dich nicht. Die Firewall trennt das interne Netzwerk vom Internet. Was soll daran unüblich sein?

Aber zurück zum Thema.
Es kann sein, dass jemand die IP spooft und eben einfafch wild "rumspielt". MAc-Adressen können auch einfach gefälscht werden.
An sich musst du dir keine Sorgen machen, da die Firewall alles filtert.

Wenn du schon beim Provider arbeitest, gibt das doch mal an die Jungs von der IT-Sicherheit weiter. Die können dann deinen Traffic genauer untersuchen und finden vielleicht auch die Ursache.

Zu der IP findest du in der WHOIS-Abfrage folgendes:
Guten Abend.
Ich verstehe mich auch gerade nicht was ich für einen Schmarrn erzählt habe.

Die Multicast Pakete sind egal, aber wenn du eh bei Swisscom arbeitest, sollten die Techniker doch mal genau analyisieren was das ist. Gibt diverse Spam IP's...
 

ange12lo

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
So jungs hab rausgefunden was es ist,
Es ist tatsächlich der Original Router der eine Multicastabfrage startet, obwohl er im Bridget
Modus steht. Die multicast abfragen sollten eigentlich nach dem einstellen des Bridgetmodus deaktiviert sein, wohl ein software bug.
Ich bin in der Network Engineering Abteilung,
jedoch leider nur für das Mobilnetz.
Ich durffte in das Log reinschauen und die Anfragen kommen definitiv nicht von aussen.

Vielen Dank

Gruss Angelo
 
Top