Skumma "Class A address"-rader i /var/log/firewall

Diskussion kring säkerhet och nätverk.
Post Reply
User avatar
st3f
Posts: 187
Joined: 19 November 2003, 00:19
Location: Norrköping/Stockholm

Skumma "Class A address"-rader i /var/log/firewall

Post by st3f » 29 March 2005, 02:19

Jag kör Arno's iptables firewall och loggar allt till /var/log/firewall och det har aldrig varit några konstigheter. Förra veckan bytte jag ISP till BBB vilket innebar dynamisk IP via DHCP. Sedan dess dyker dessa rader upp i loggen:

Code: Select all

Mar 29 01:48:52 Class A address: IN=eth0 SRC=10.245.1.1 
                DST=224.0.0.1 PROTO=2 TTL=1 
Mar 29 01:49:52 Class A address: IN=eth0 SRC=10.245.1.1 
                DST=224.0.0.1 PROTO=2 TTL=1 
Mar 29 01:50:53 Class A address: IN=eth0 SRC=10.245.1.1 
                DST=224.0.0.1 PROTO=2 TTL=1
...ganska ofta som synes. Är det någon som vet vad det är för något? Destination är tydligen ALL-SYSTEMS.MCAST.NET som jag har kollat upp lite men inte lyckas få någon rätsida på. Vad är det egentligen?

Körde igång tcpdump för att se om jag fick någon insikt där...

Code: Select all

01:49:52.986336 IP 10.245.1.1 > ALL-SYSTEMS.MCAST.NET: igmp query v2
IGMP query? Varför får jag en sån? När jag körde tcpdump såg jag att jag dessutom fick MASSVIS av requests som hade med ALL-ROUTERS.MCAST.NET att göra också, avsevärt fler än en gång i minuten...

Skulle någon kunna förklara vad detta är? Jag hittar inget koncist. Jag antar att det går att köra DENY på SRC men jag kommer fortfarande att irritera mig på faktumet att dessa paket står i en lång, prydlig kö utanför min dörr och vill in...
Slackware 10.1 (2.4.29)
Enlightenment 0.16.7
http://www.skrivihop.nu/ snälla!

User avatar
kjell-e
Posts: 2817
Joined: 21 December 2002, 16:27
Location: Linköping
Contact:

Post by kjell-e » 29 March 2005, 02:31

Routrarna frågar din dator om den vill prenumera på någon multicast-kanal. Om du inte är intresserad av några multicastströmmar kan du glatt ignorera dessa frågor. Förslagsvis lägger du in en regel som spärrar utan att logga om du inte vill ha sådana frågor.

User avatar
st3f
Posts: 187
Joined: 19 November 2003, 00:19
Location: Norrköping/Stockholm

Post by st3f » 29 March 2005, 03:22

Aha, okej. Men vad skickas på dessa kanaler då? Borde det inte bara vara sånt som intresserar routers? Måste dessa skickas så (j-a) ofta?

Känner du till något dokument som beskriver det här utan att bli alldeles för tekniskt (dvs helst inget RFC...)? Jag vet inte riktigt vad jag ska leta efter.

Tack annars!
Slackware 10.1 (2.4.29)
Enlightenment 0.16.7
http://www.skrivihop.nu/ snälla!

User avatar
kjell-e
Posts: 2817
Joined: 21 December 2002, 16:27
Location: Linköping
Contact:

Post by kjell-e » 29 March 2005, 17:45

Det är allt från Nasas utsändingar till TV-kanaler till kompisar som leker med en virtuell whiteboardtavla. Bredbandsbolaget skickar ut några TV-kanaler med multicast.

Ja de måste skickas ofta så att routrarna får reda på om det är någon som vill ta emot en multicastström så att routrarna får veta om de ska ta emot och routa multicastströmmen vidare. Om du är intresserad av en multicastström ska du inte behöva vänta lååååång tid innan du kan börja ta emot den. Likaså om alla slutar att prenumerera på en multicastström så ska routrarna få reda på det och sluta routa den vidare för att inte belasta nätet mer än nödvändigt.

User avatar
kjell-e
Posts: 2817
Joined: 21 December 2002, 16:27
Location: Linköping
Contact:

Post by kjell-e » 29 March 2005, 17:46

För mer information kan du prova och googla på multicast eller söka upp lämplig nätverksbok på något bibliotek.

User avatar
st3f
Posts: 187
Joined: 19 November 2003, 00:19
Location: Norrköping/Stockholm

Post by st3f » 29 March 2005, 19:35

Aha, var det sånt du menade, då fattar jag, tack ska du ha! Har redan läst i Ciscos Internetworking Tech Handbook om det, täckte det hela riktigt bra. Jag försöker hitta något som BBB har skrivit om det (hur _de_ använder det) dock utan framgång.
Slackware 10.1 (2.4.29)
Enlightenment 0.16.7
http://www.skrivihop.nu/ snälla!

Post Reply