Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [OPGELOST]log stroomt vol met martian source. Hoe ernstig is dit?  (gelezen 2079 keer)

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Goedendag,

Sinds wij een nieuw glasvezel netwerk hebben lopen onze logs vol met  martian source meldingen

Aug  3 10:36:51 *** kernel: [  663.953081] martian source 10.53.54.245 from 10                                             .53.52.1, on dev eth0
Aug  3 10:36:51 *** kernel: [  663.953086] ll header: ff:ff:ff:ff:ff:ff:00:21:                                             55:cb:01:d9:08:06
Aug  3 10:36:52 *** kernel: [  664.527793] martian source 10.53.52.20 from 10.                                             53.52.1, on dev eth0
Aug  3 10:36:52 *** kernel: [  664.527798] ll header: ff:ff:ff:ff:ff:ff:00:21:                                             55:cb:01:d9:08:06
Aug  3 10:36:52 *** kernel: [  664.571910] martian source 255.255.255.255 from                                              10.202.0.1, on dev eth0

Dit is de netwerkkaart die direct op ons modem is aangesloten en naar de firewall gaat.
Wij kunnen zo gauw niet zien waar om wij deze meldingen krijgen, tenzei onze ISP deze meldingen verstuurd.

Alle info is welkom

grt,
vinnie665 (ook wel : Awsome1234  :P)
« Laatst bewerkt op: 2010/08/06, 16:57:27 door Vinnie665 »

Offline rja

  • Lid
  • Steunpunt: Nee
Re: log stroomt vol met martian source. Hoe ernstig is dit?
« Reactie #1 Gepost op: 2010/08/03, 11:15:50 »
Krijg je van je provider toevallig een 10.x.x.x ip nummer ?

Wat geeft ifconfig -a voor output ?

uitleg :

from the RFC:

5.3.7 Martian Address Filtering

An IP source address is invalid if it is a special IP address, as
defined in 4.2.2.11 or 5.3.7, or is not a unicast address.

An IP destination address is invalid if it is among those defined as
illegal destinations in 4.2.3.1, or is a Class E address (except
255.255.255.255).

A router SHOULD NOT forward any packet that has an invalid IP source
address or a source address on network 0. A router SHOULD NOT
forward, except over a loopback interface, any packet that has a
source address on network 127. A router MAY have a switch that
allows the network manager to disable these checks. If such a switch
is provided, it MUST default to performing the checks.

A router SHOULD NOT forward any packet that has an invalid IP
destination address or a destination address on network 0. A router
SHOULD NOT forward, except over a loopback interface, any packet that
has a destination address on network 127. A router MAY have a switch
that allows the network manager to disable these checks. If such a
switch is provided, it MUST default to performing the checks.

If a router discards a packet because of these rules, it SHOULD log
at least the IP source address, the IP destination address, and, if

the problem was with the source address, the physical interface on
which the packet was received and the Link Layer address of the host
or router from which the packet was received.

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: log stroomt vol met martian source. Hoe ernstig is dit?
« Reactie #2 Gepost op: 2010/08/03, 11:30:41 »
Krijg je van je provider toevallig een 10.x.x.x ip nummer ?

Wat geeft ifconfig -a voor output ?

eth0      Link encap:Ethernet  HWaddr 00:a1:b0:11:0e:a4
          inet addr:94.215.*.*  Bcast:255.255.255.255  Mask:255.255.254.0
          inet6 addr: fe80::2a1:b0ff:fe11:ea4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24414 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9769 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18776421 (18.7 MB)  TX bytes:1456175 (1.4 MB)
          Interrupt:22 Base address:0xdc00

eth1      Link encap:Ethernet  HWaddr 00:18:8b:88:14:4b
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.0.0.0
          inet6 addr: fe80::218:8bff:fe88:144b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10552 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15548 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1628707 (1.6 MB)  TX bytes:18731557 (18.7 MB)
          Interrupt:21

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1082 (1.0 KB)  TX bytes:1082 (1.0 KB)


Dit is de output waar van eth0 de verbinding naar het modem is en eth1 de verbinding naar onze hoofd switch.

ben er achter gekomen dat mijn modem mij eerst een 10.200.0.* adress geeft en vervolgens mijn externe ip dus dan kan het wel kloppen dat hij in de loggs een 10.*.*.* als een ongeldig pakket ziet op mijn externe nic.
« Laatst bewerkt op: 2010/08/03, 11:38:19 door Vinnie665 »

Offline rja

  • Lid
  • Steunpunt: Nee
Re: log stroomt vol met martian source. Hoe ernstig is dit?
« Reactie #3 Gepost op: 2010/08/03, 19:00:12 »
Dit is de output waar van eth0 de verbinding naar het modem is en eth1 de verbinding naar onze hoofd switch.

ben er achter gekomen dat mijn modem mij eerst een 10.200.0.* adress geeft en vervolgens mijn externe ip dus dan kan het wel kloppen dat hij in de loggs een 10.*.*.* als een ongeldig pakket ziet op mijn externe nic.
Heb je die foutmeldingen alleen bij het opstarten ?

Als dat niet is en en steeds het zelfde ip nummer is droppen in je firewall.

Waarschijnlijk werkt je provider met een 10.x.x.x netwerk intern, om het aantal externe ip nummers te beperken die schaars beginnen te worden.


Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: log stroomt vol met martian source. Hoe ernstig is dit?
« Reactie #4 Gepost op: 2010/08/03, 19:06:00 »
Dit is de output waar van eth0 de verbinding naar het modem is en eth1 de verbinding naar onze hoofd switch.

ben er achter gekomen dat mijn modem mij eerst een 10.200.0.* adress geeft en vervolgens mijn externe ip dus dan kan het wel kloppen dat hij in de loggs een 10.*.*.* als een ongeldig pakket ziet op mijn externe nic.
Heb je die foutmeldingen alleen bij het opstarten ?

Als dat niet is en en steeds het zelfde ip nummer is droppen in je firewall.

Waarschijnlijk werkt je provider met een 10.x.x.x netwerk intern, om het aantal externe ip nummers te beperken die schaars beginnen te worden.



De meldingen heb ik continue eigenlijk heb net denk ik weer 50 mb aan data verkregen aan martain source packets
Denk dat de dhcp eerst 10 uit deelt en daarna mijn echte ip inderdaad.

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: log stroomt vol met martian source. Hoe ernstig is dit?
« Reactie #5 Gepost op: 2010/08/05, 10:17:55 »
Ik heb martian logging even uit gezet omdat ik door al die voor mij nog even nutteloze data mijn foutmeldingen niet meer kan vinden..
Wat zou het makkelijkste oplossing zijn om van martain af te komen? misschien een ander intern net nemen ipv 10.x.x.x.x ?.

probleem is opgelost ik bleek de verkeerde netwerk kaart aan de verkeerde router te hebben gegeven op ergenis van mijn Cisco expert :P, dus nu is alles weer oke :D

« Laatst bewerkt op: 2010/08/06, 16:57:14 door Vinnie665 »