Firewall melding

[Amedee Van Gasse]

On Sun, May 11, 2008 11:09, Maxim Heijndijk wrote:
> Martijn van de Streek schreef:
>
>>> Ik krijg hier sinds vandaag de volgende melding van m'n firewall:
>>>
>>> [  718.384000] DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
>>> LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
>>> SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
>>> (020405B40101040201030305)
>>>
>>> Weet iemand hoe ik erachter kom welk proces pakketten naar buiten
>>> probeert te sturen ?
>>
>> Source-port = 1319, destination port = 25, protocol = tcp. Je kun dan
>> eea vinden met netstat -pt (misschien -pta)
>>
>> Oh en source-ip = 192.168.1.12, dus je zou op die machine moeten kijken
>> :)
>>
>> Martijn
>
> Het is sendmail. Wat ik niet begrijp is dat sendmail pakketten naar
> buiten probeert te versturen naar een onbekend adres. Terwijl ik poort
> 25 volledig afgeloten heb. Sendmail wordt hier alleen lokaal gebruikt.
> Je zou toch denkan dat om een pakket naar buiten te versturen, er eerst
> een aanvraag van buitenaf zou moeten komen. Die aanvraag van buitenaf
> zou er nooit door moeten komen. Lastig verhaal.

206.225.95.129 is blijkbaar een dedicated server die bij aplus.net gehost
staat. Een van de websites die er op draait, is http://local.net/
Heb je toevallig je thuisnetwerkje de naam local.net gegeven?

Ik ben hier toevallig op gestoten door domweg te googlen op dit ip-adres.
De derde hit is een duitstalige forumtopic waar er ook iemand local.net
had gebruikt voor zijn thuisnetwerk.

Mijn advies: gebruik NOOIT een domein dat op internet zou kunnen resolven,
tenzij het echt van jou is. Dwz ik mag amedee.be als naam gebruiken voor
mijn thuisnetwerk (gesteld dat ik alle dns-configuratie correct doe).

Je kan je netwerk misschien beter net.local noemen. .local is een TLD die
meer dan waarschijnlijk nooit op internet zal bestaan.


-- 
Amedee