ComputerBase Menü
Aktuelles

Firewall Drop_input

A

ange12lo

Newbie
Registriert
Sep. 2014
Beiträge
5
Hallo Miteinander.

Ich bin Neu hier, bin 22 Jahre alt und aus der Schweiz.

Ich habe seit einigen Tagen einen merkwürdigen Drop auf der Firewall, einige werden ja meinen solang es gedroppt wird ist alles gut. Jedoch nimmt es mich trotzdem wunder was es ist.

das Bild Spricht für sich, jede Minute kommt eine Verbindungsversuch von Port 2 zu Port 2.
Dies von der IP:1.1.1.1 und als Ziel ist meine Multicast Adresse 224.0.0.1 .

Was mich auch wunder nimmt von wo die Mac Adresse Stammt die Rechts im bild ist. Die Mac Adresse Stammt von einem Thomson Gerät, Ich hab jedoch kein Thomson Gerät im haus.
image.png

Vielen Dank im Voraus

Gruss Angelo:)
 
Multicasts sind oft vom Router ... bist du sicher dass in deinem Router keine Thomson Chips drin sind? Bei uns hier in D gibts auf jeden Fall viele Thomson Router/Modems .....
 
Das Hab ich mir auch schon gedacht, vor der Firewall ist ein Router der auf Bridge gestellt ist, ob der einen Thomson Chip drin hat kann ich nicht beurteilen.
 
ange12lo schrieb:
Das Hab ich mir auch schon gedacht, vor der Firewall ist ein Router der auf Bridge gestellt ist, ob der einen Thomson Chip drin hat kann ich nicht beurteilen.
Zum Vergrößern anklicken....

Nenn mal deinen Provider, Internetleitung und wie du das aufgebaut hast, etc.!
 
Provider: Ich selbst (Swisscom) ich arbeite beim Provider.

Den Router des Providers (Motorola) hab ich als Bridge konfiguriert, von da aus geht es Auf einen mini PC auf den RED Interface, Auf dem Minirechner läuft IPFIRE.
Ich vermute wie mein Vorredner schon sagte das es von der Bridge(ehemaliger Router) kommt, Da für das Swisscom TV Multicast verwendet wird.
Ich finde aberin der Bridge nirgends eine einstellung wo ich die Multicast abfrage deaktivieren könnte.
 
ange12lo schrieb:
Provider: Ich selbst (Swisscom) ich arbeite beim Provider.

Den Router des Providers (Motorola) hab ich als Bridge konfiguriert, von da aus geht es Auf einen mini PC auf den RED Interface, Auf dem Minirechner läuft IPFIRE.
Ich vermute wie mein Vorredner schon sagte das es von der Bridge(ehemaliger Router) kommt, Da für das Swisscom TV Multicast verwendet wird.
Ich finde aberin der Bridge nirgends eine einstellung wo ich die Multicast abfrage deaktivieren könnte.
Zum Vergrößern anklicken....
Dein IPFIRE steht also direkt im Internet? Glückwunsch, ich hab dir dafür mal was rausgesucht: https://www.youtube.com/watch?v=C0iErNNzrFg
 
Was bitte sol daran schlecht sein wenn die Firewall direkt im internet steht? Und nenn mir mal wo das nicht so gemacht wird.
 
Moin und willkommen bei Computerbase :)

FloBrand schrieb:
Dein IPFIRE steht also direkt im Internet? Glückwunsch, ich hab dir dafür mal was rausgesucht: unützer YT-Link
Zum Vergrößern anklicken....
@FloBrand: Ich verstehe dich nicht. Die Firewall trennt das interne Netzwerk vom Internet. Was soll daran unüblich sein?

Aber zurück zum Thema.
Es kann sein, dass jemand die IP spooft und eben einfafch wild "rumspielt". MAc-Adressen können auch einfach gefälscht werden.
An sich musst du dir keine Sorgen machen, da die Firewall alles filtert.

Wenn du schon beim Provider arbeitest, gibt das doch mal an die Jungs von der IT-Sicherheit weiter. Die können dann deinen Traffic genauer untersuchen und finden vielleicht auch die Ursache.

Zu der IP findest du in der WHOIS-Abfrage folgendes:
inetnum 1.1.1.0 - 1.1.1.255
netname APNIC-LABS
descr Research prefix for APNIC Labs
descr APNIC
country AU
admin-c AR302-AP
tech-c AR302-AP
mnt-by APNIC-HM
mnt-routes MAINT-AU-APNIC-GM85-AP
mnt-irt IRT-APNICRANDNET-AU
status ASSIGNED PORTABLE
changed hm-changed@apnic.net 20140507
changed hm-changed@apnic.net 20140512
source APNIC
[...]
remarks ++++++++++++++++++
remarks + Address blocks listed with this contact
remarks + are withheld from general use and are
remarks + only routed briefly for passive testing.
remarks +
remarks + If you are receiving unwanted traffic
remarks + it is almost certainly spoofed source
remarks + or hijacked address usage.
remarks +
[...]
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
error schrieb:
Moin und willkommen bei Computerbase :)


@FloBrand: Ich verstehe dich nicht. Die Firewall trennt das interne Netzwerk vom Internet. Was soll daran unüblich sein?

Aber zurück zum Thema.
Es kann sein, dass jemand die IP spooft und eben einfafch wild "rumspielt". MAc-Adressen können auch einfach gefälscht werden.
An sich musst du dir keine Sorgen machen, da die Firewall alles filtert.

Wenn du schon beim Provider arbeitest, gibt das doch mal an die Jungs von der IT-Sicherheit weiter. Die können dann deinen Traffic genauer untersuchen und finden vielleicht auch die Ursache.

Zu der IP findest du in der WHOIS-Abfrage folgendes:
Zum Vergrößern anklicken....
Guten Abend.
Ich verstehe mich auch gerade nicht was ich für einen Schmarrn erzählt habe.

Die Multicast Pakete sind egal, aber wenn du eh bei Swisscom arbeitest, sollten die Techniker doch mal genau analyisieren was das ist. Gibt diverse Spam IP's...
 
So jungs hab rausgefunden was es ist,
Es ist tatsächlich der Original Router der eine Multicastabfrage startet, obwohl er im Bridget
Modus steht. Die multicast abfragen sollten eigentlich nach dem einstellen des Bridgetmodus deaktiviert sein, wohl ein software bug.
Ich bin in der Network Engineering Abteilung,
jedoch leider nur für das Mobilnetz.
Ich durffte in das Log reinschauen und die Anfragen kommen definitiv nicht von aussen.

Vielen Dank

Gruss Angelo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
354
Mickey Mouse
Mickey Mouse
T
WOL: Fritzbox VPN und Portforwarding
Antworten
8
Aufrufe
2.200
tobias.kathan
T
G
Mikrotik IPv6 Kaskadierung zu UDM Pro
Antworten
4
Aufrufe
1.088
GCCM
G
donnerwolke
UFW Firewall und Docker Container
Antworten
10
Aufrufe
3.349
snaxilian
S
Platzpatrone
Trotz Internetverbindung keine Serververbindung zu Gameclients/ bestimmten Websiten
Antworten
16
Aufrufe
6.570
Platzpatrone
Platzpatrone
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz