---

Mit IDS system i min firewall leverer en mængde af disse oplysninger:
Date:
02/21 15:36:36
Name:
ICMP Destination Unreachable (Communication Administratively
Prohibited)

Priority:
3
Type:
Misc activity

IP info:
10.1.10.201:25 -> 80.164.127.112:2742

References:
none found







10.1.10.201 er vor mailservers interne adresse bag firewallen, porten
selvsagt smtp.
den angivne til-adresse og port 80.164.127.112:2742 er skiftende i hvert
eneste entry.

Har nogen en forklaring på hvad der sker?

finn

---

cykelsmeden wrote:
>
> Har nogen en forklaring på hvad der sker?

Du bliver nok nødt til at give en lidt mere
detaljeret forklaring af din netværkstopologi
hvis vi skal have en chance for at forklare det.

--
Kasper Dupont

---

>> Har nogen en forklaring på hvad der sker?
>
> Du bliver nok nødt til at give en lidt mere
> detaljeret forklaring af din netværkstopologi
> hvis vi skal have en chance for at forklare det.
>
> --
> Kasper Dupont
Ok, jeg prøver at forklare det på en anden måde:

Jeg har en mailserver på DMZ 10.1.10.210 som naturlig er åben på port 25,
og der er naturligvis åbent i firewallen fra min officielle
postserveradresse port 25 til den interne adresse port 25.
Firewallens IntrusionDetectionSystem fortæller så mange gange dagligt at min
postserver sender ICMPpakker til en masse forskellige maskiner fra
forskellige porte.
Jeg er ikke bekendt med at sådan ICMPtrafik fra en postserver er normalt, og
fejlmeddelsen fra IDSloggen indikerer jo også at det er unormalt.
Mit spørgsmål er så:
1. Hvad kan tænkes at udløse sådan trafik?
2. Er det nogen udefra som anvender postserveren til at probe fremmede
servere.?
3. Kan det forhåbentligt utænkelige at min postserver (som er en windows-
men ikke microsoft-mail) tænkes at være angrebet af noget?
Da det har stået på meget længe, og jeg ikke har mærket andet usædvanligt,
tager jeg fænomenet roligt, men forsøger naturligvis at forstå hvad der går
for sig!

finn