naquaddah
23-10-2004, 00:38
seid ich den TeamSpeak server auf meiner linux box laufen lasse, werde ich von meiner firewall zugespammt.
Der Server läuft, Clients auch.
Aber der Server versucht unpassende Pakete zu verschicken, die von meiner zugegeben etwas paranoiden fw dann verfrühstückt werden.
Das ganze sieht dann so aus:
Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Oct 22 13:05:47 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:10:59 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:16:11 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:21:23 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:26:35 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:31:47 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:37:00 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Um das mal zu erklären für benutzer anderer Firewalls:
Shorewall droppt UDP Pakete, die von Source-port 33398 an Destination-port 45647 geschickt werden. Nur auf diesen Ports und nur an die IP 213.202.254.116
whois 213.202.254.116 erklärt dann auch wohin sie gehen
inetnum: 213.202.254.112 - 213.202.254.119
netname: ETTEL-TEAMSPEAK-NET
descr: TeamSpeak.org
Nun frag ich mich warum der Server so verzweifelt einen heartbeat an irgendwelche TS-Server senden will?
Ich kann die pakete natürlich vermapfen lassen aber ich würd lieber den grund dafür wissen.
Der Port taucht nicht in der FAQ auf.
Liegt es an der älteren version? laut readme 2.0.19.40
Die Server sind auch nicht public, sie sollten nicht gelistet werden.
Der Server läuft, Clients auch.
Aber der Server versucht unpassende Pakete zu verschicken, die von meiner zugegeben etwas paranoiden fw dann verfrühstückt werden.
Das ganze sieht dann so aus:
Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Oct 22 13:05:47 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:10:59 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:16:11 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:21:23 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:26:35 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:31:47 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Oct 22 13:37:00 217-20-117-70 kernel: Shorewall:fw2net:DROP:IN= OUT=eth0 SRC=xxx.xxx.xxx.xxx DST=213.202.254.116 LEN=431 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33398 DPT=45647 LEN=411
Um das mal zu erklären für benutzer anderer Firewalls:
Shorewall droppt UDP Pakete, die von Source-port 33398 an Destination-port 45647 geschickt werden. Nur auf diesen Ports und nur an die IP 213.202.254.116
whois 213.202.254.116 erklärt dann auch wohin sie gehen
inetnum: 213.202.254.112 - 213.202.254.119
netname: ETTEL-TEAMSPEAK-NET
descr: TeamSpeak.org
Nun frag ich mich warum der Server so verzweifelt einen heartbeat an irgendwelche TS-Server senden will?
Ich kann die pakete natürlich vermapfen lassen aber ich würd lieber den grund dafür wissen.
Der Port taucht nicht in der FAQ auf.
Liegt es an der älteren version? laut readme 2.0.19.40
Die Server sind auch nicht public, sie sollten nicht gelistet werden.