# martian packets

## Jimini

Aloha,

seit ich über Kabel Deutschland online gehe, musste ich meine Netzwerkkonfiguration ziemlich umkrempeln. Bis dato ging ich über eine PPPoE-Verbindung online, jetzt sieht es wie folgt aus:

Das LAN hängt an eth1 des Routers, dieser ist über eth0 mit dem Modem verbunden. eth0 bekommt über DHCP immer die selbe Adresse zugeteilt.

CLIENTS ====== SWITCH ====== 10.0.0.1 (eth1) | Router | statische IP (eth0) ========= MODEM

Seitdem tauchen bei mir einige Probleme auf:

1) mein Syslog meldet täglich zig "martian packets" - z.B. von 10.0.0.2, die aber auf eth0 ankommen:

```
[2010-09-08 09:10:45] warning kern kernel [581808.296404] martian source 10.0.0.2 from 85.219.95.244, on dev eth0

[2010-09-08 09:10:45] warning kern kernel [581808.329374] martian source 10.0.0.2 from 213.182.122.58, on dev eth0

[2010-09-08 09:10:46] warning kern kernel [581808.805357] martian source 10.0.0.2 from 87.79.177.140, on dev eth0

[2010-09-08 09:10:46] warning kern kernel [581809.137202] martian source 10.0.0.2 from 84.185.179.70, on dev eth0

[2010-09-12 13:57:04] warning kern kernel [944587.115089] martian source EXTERNE_IP from 10.0.0.1, on dev eth0

[2010-09-12 13:58:28] warning kern kernel [944671.197255] martian source EXTERNE_IP from 10.0.0.1, on dev eth0

[2010-09-12 14:00:28] warning kern kernel [944791.104273] martian source EXTERNE_IP from 10.0.0.1, on dev eth0

[2010-09-12 14:02:28] warning kern kernel [944911.065626] martian source EXTERNE_IP from 10.0.0.1, on dev eth0

[2010-09-13 12:03:36] warning kern kernel [1024178.610059] martian source 78.53.74.253 from 10.0.0.2, on dev eth1

[2010-09-13 12:03:36] warning kern kernel [1024178.610109] martian source 78.53.74.253 from 10.0.0.2, on dev eth1

[2010-09-13 12:03:36] warning kern kernel [1024178.610160] martian source 78.53.74.253 from 10.0.0.2, on dev eth1

[2010-09-13 12:03:36] warning kern kernel [1024178.682933] martian source 213.33.21.171 from 10.0.0.2, on dev eth1
```

2) starte ich eth1 neu, bekomme ich die Meldung 

```
RTNETLINK answers: No such process                                                      [ !! ]
```

Ich habe heute schon einige Stunden damit verbracht, die Ursache zu finden, bin bisher aber noch nicht wirklich weitergekommen. Natürlich kann ich das Logging der martian packets auch deaktivieren, aber da in meinem Netz scheinbar _einige_ Pakete falsch geroutet werden, würde ich der Sache lieber auf den Grund gehen.

/etc/conf.d/net:

```
config_eth0=( "dhcp" )

config_eth1=( "10.0.0.1/24" )

routes_eth1=( "default via EXTERNE_IP" )

dhcp_eth0="release nodns"

dhcp_eth1="release nodns"
```

("routes_eth1" dürfte in der Form falsch sein, dass eine IP-Adresse aus einem ganz anderen Netz als Gateway angegeben wird - aber afaik kann ich da ja kein Interface angeben. Was also tun?)

iptables-script (um z.B. Port-Forwarding gekürzt):

```
for FILTER in /proc/sys/net/ipv4/conf/*/arp_filter; do

 echo 1 > $FILTER

done

                                                                                                                                                                                                                                             

for f in /proc/sys/net/ipv4/conf/*/log_martians; do

 echo 1 > $f

done

                                                                                                                                                                                                                                             

for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do

 echo 0 > $f 

done

for f in /proc/sys/net/ipv4/conf/*/send_redirects; do

 echo 0 > $f

done

                                                                                                                                                                                                                                             

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do

 echo 0 > $f

done

                                                                                                                                                                                                                                             

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

                                                                                                                                                                                                                                             

echo "1" > /proc/sys/net/ipv4/ip_forward

lan="eth1"

wan="eth0"

intern=10.0.0.0/24

### Default-Policy: alles verwerfen

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

### Vorhandene Tabellen loeschen

iptables -F

iptables -t nat -F

iptables -t mangle -F

### Akzeptiere Verbindungsaufbauten aus dem LAN

iptables -A FORWARD -s $intern -i $lan -o $wan -m state --state NEW -j ACCEPT

iptables -A INPUT -s $intern -i $lan -m state --state NEW -j ACCEPT

### Akzeptiere alle Pakete, die zu einer aufgebauten Verbindung gehoeren

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Alle Pakete bei der Weiterleitung nach aussen maskieren

iptables -t nat -A POSTROUTING -o $wan -j MASQUERADE
```

Falls mehr Infos benötigt werden, einfach nachfragen - danke schonmal im Voraus.

MfG Jimini

----------

## Jimini

Die martian packets rührten scheinbar von einer fehlenden Regel in meinem iptables-Script her, das zwar dem Router erlaubte, eine Verbindung zu einem DHCP-Server außerhalb aufzunehmen, aber den Clients im LAN die Verbindung zum Router, um eine Adresse zu beziehen, verweigerte. Ich bin da noch nicht ganz durchgestiegen, jedenfalls brachte mich der neu erzeugte, detaillierte Log-Output von iptables darauf:

```
IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:5d:aa:87:ae:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:5d:aa:87:ae:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:20:cf:30:9b:3a:f8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:20:cf:30:9b:3a:f8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
```

Also fügte ich folgende Regel hinzu:

```
iptables -A INPUT -i $lan -p udp --dport 67 -m state --state NEW -j ACCEPT 
```

Seit zwei Tagen bekomme ich keine Warnungen mehr wegen martian packets, es scheint also funktioniert zu haben.

Meine /etc/conf.d/net habe ich ebenfalls korrigiert:

```
config_eth0=( "dhcp" )

config_eth1=( "10.0.0.1/24" )

dhcp_eth0="release nodns"
```

Bisher arbeitet alles fehlerfrei, ich setze daher den Status des Threads mal auf "gelöst".

MfG Jimini

P.S.: ich hatte einen Thread zum selben Thema im englischen Teil des Forums erstellt.

----------

## Jimini

Pustekuchen. Die martian packets werden immer noch geloggt. Ein Auszug:

```
[2310921.160091] martian source 10.0.0.2 from 10.0.0.1, on dev eth0

[2310921.160091] martian source 10.0.0.2 from 10.0.0.1, on dev eth0

[2310921.160097] ll header: 00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00

[2310921.160097] ll header: 00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00

[2333192.613987] martian source 91.65.144.59 from 10.0.0.2, on dev eth0

[2333192.613987] martian source 91.65.144.59 from 10.0.0.2, on dev eth0

[2333192.613994] ll header: 00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00

[2333192.613994] ll header: 00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00
```

Wie man unschwer erkennen kann, ist der Header immer der gleiche. Das Target ist eth0 des Routers - also die NIC, an der das Modem hängt. Die Quelle ist ebenfalls immer die gleiche.

Ebenfalls loggt iptables gedroppte Pakete mit dem gleichen Header:

```
IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=188.162.116.21 DST=91.65.144.59 LEN=129 TOS=0x00 PREC=0x00 TTL=113 ID=4129 PROTO=UDP SPT=16001 DPT=51413 LEN=109 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=188.162.116.21 DST=91.65.144.59 LEN=129 TOS=0x00 PREC=0x00 TTL=113 ID=4259 PROTO=UDP SPT=16001 DPT=51413 LEN=109 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=188.162.116.21 DST=91.65.144.59 LEN=129 TOS=0x00 PREC=0x00 TTL=113 ID=10312 PROTO=UDP SPT=16001 DPT=51413 LEN=109 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=188.162.116.21 DST=91.65.144.59 LEN=129 TOS=0x00 PREC=0x00 TTL=113 ID=10480 PROTO=UDP SPT=16001 DPT=51413 LEN=109 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=58.95.97.195 DST=91.65.144.59 LEN=129 TOS=0x00 PREC=0x00 TTL=100 ID=7272 PROTO=UDP SPT=11780 DPT=51413 LEN=109 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=84.238.138.157 DST=91.65.144.59 LEN=90 TOS=0x00 PREC=0x00 TTL=112 ID=143 PROTO=UDP SPT=21191 DPT=51413 LEN=70 

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=124.226.17.22 DST=91.65.144.59 LEN=90 TOS=0x00 PREC=0x00 TTL=113 ID=28893 PROTO=UDP SPT=24570 DPT=51413 LEN=70
```

Was ich daran partout nicht verstehe ist die Tatsache, dass die Quell-IP-Adresse sich ständig ändert. Ich lasse mir seit einiger Zeit jeden Morgen den jeweils gestrigen Logauszug des iptables-Logfiles schicken, es werden ständig Pakete von anderen IP-Adressen, aber immer mit dem selben Header gedroppt. Wie kann das sein, dass der Header sich nicht ändert? Vor allem nervt mich daran, dass diese Meldungen meine Logfiles zuknallen - oder ist es normal, dass in Spitzenzeiten sekündlich von außen kommende Pakete verworfen werden?

MfG Jimini

----------

## Treborius

hi, ich bin auch bei kabel deutschland, und so richtig bin

ich auch noch nicht dahinter gestiegen, wie deren netzt funktioniert

bei mir sieht die configuration so aus :

kabel-deutschland-modem==>verteilt via dhcp ip an ==>[eth0]gentoo-router[eth1-wlan-accesspoint]==>rest meiner bude

martian-packets konnte ich nicht feststellen, 

aber ungewöhnlich viele arp-request (bis zu 3 per sekunde), 

das sei laut kabel-deutschland aber normal

ich bin leider viel zu müde um mich da mal auf die suche zu machen, ich häng mich aber rein

was für einen router hast du denn da stehen? 

was mich auch noch irritiert ist : statische ip?

die ip bei kd ist mitnichten statisch, sie wechselt nur nicht ...

Will sagen : kabel-deutschland garantiert dir keine statische ip, ich habe in 3/4 jahren sogar mal

einen ip-wechsel mitbekommen (die sind aber wirklich selten)

deshalb auch dhcp auf dem router

edit : ich kann vorab dazu nur sagen, das sich das kabel-deutschland netz sehr stark von

einem herkömmlichen i-net-zugang zu unterscheiden scheint (siehe meine arp flut)

----------

## schachti

Sorry für's Abschweifen - ich überlege gerade, beim anstehenden Umzug von DSL (Alice) auf Kabel-Internet von Kabel Deutschland umzustellen. Was sind Eure Erfahrungen bzgl. Zuverlässigkeit, Latenz etc.?

----------

## Treborius

viele schimpfen ja über kabel deutschland,

ich bin aber eher zufrieden

ping 25ms,

ausfälle hatte ich noch nie, nur ip-telefonie klappt manchmal nicht

man kann auch kein telekom-telefon an das modem anschliessen ...

aber etwas mit 2MB/s runterzuladen ist für mich immer noch ein erlebniss

(nicht lachen, ich kann mich noch an zeiten erinnern in denen 5kb/s die regel waren)

----------

## Jimini

Ich glaube mittlerweile, dass die martian packets erst auftreten, wenn ein Rechner bei mir transmission laufen hat. Ganz durchgestiegen bin ich da aber noch nicht. ARP-Requests sind mir bisher noch nicht aufgefallen, aber ich werde da in den nächsten Tagen mal nachschauen. 

Als Router steht bei mir eine Eigenbau-Kiste. Das Modem ist ein Thomson THG540 - bei mir hängt unter anderem auch ein Telekom-Telefon dran.

Was die statische IP anbelangt: ja, Kabel Deutschland garantiert keine statische Adresse, das stimmt. Allerdings wird die IP-Adresse meines Wissens an die MAC-Adresse des Modems gekoppelt (weswegen man auch im Normalfall nicht einfach mal ein eigenes Gerät dranhängen kann), wie du schon sagst, sollte so ein Wechsel selten vorkommen.

@ schachti: ich bin seit Anfang September bei Kabel Deutschland und bisher sehr zufrieden. Der Support hat sich bisher nicht dumm angestellt (aber abwarten), Zuverlässigkeit und Preis-Leistungsverhätnis sind klasse (ich zahle für 32 MBit knapp 20 €). Die ersten Tage war das Netz "langsam", aufgrund von Netzarbeiten hier in der Nähe wurde es auf 16 MBit gedrosselt. Mit 4 MB/s größere Sachen zu ziehen ist schon fein, auch wenn ich es jetzt nicht täglich ausreize. 

Ich bin gespannt, ob Kabel D wirklich die garantierten ~98% Uptime einhält.

MfG Jimini

----------

## Jimini

Ach ja - ich war heute morgen noch nicht ganz wach, daher hab ich mich vertan. Martian packets treten laut Logfile keine mehr auf, dafür werden bei mir aber recht viele Pakete gedroppt, die zwar von verschiedenen IP-Adressen her kommen, aber immer die gleiche MAC-Adresse haben. Ich habe keine Ahnung, wie sowas zustande kommen kann, fällt da einem von euch was ein?

```
IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=114.182.112.197 DST=MEINE_IP LEN=90 TOS=0x00 PREC=0x00 TTL=101 ID=42991 PROTO=UDP SPT=20555 DPT=51413 LEN=70

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=79.50.81.29 DST=MEINE_IP LEN=90 TOS=0x00 PREC=0x00 TTL=111 ID=8316 PROTO=UDP SPT=10694 DPT=51413 LEN=70

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=61.227.212.252 DST=MEINE_IP LEN=90 TOS=0x00 PREC=0x00 TTL=98 ID=59423 PROTO=UDP SPT=18706 DPT=51413 LEN=70

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=218.61.205.36 DST=MEINE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=101 ID=36900 PROTO=TCP SPT=80 DPT=49239 WINDOW=65535 RES=0x00 ACK SYN URGP=0

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=218.61.205.36 DST=MEINE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=99 ID=36900 PROTO=TCP SPT=80 DPT=49239 WINDOW=65535 RES=0x00 ACK SYN URGP=0

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=218.61.205.36 DST=MEINE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=36900 PROTO=TCP SPT=80 DPT=49239 WINDOW=65535 RES=0x00 ACK SYN URGP=0

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=60.240.66.148 DST=MEINE_IP LEN=90 TOS=0x00 PREC=0x00 TTL=107 ID=48372 PROTO=UDP SPT=7479 DPT=57647 LEN=70

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=124.237.78.187 DST=MEINE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=218.61.205.36 DST=MEINE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=99 ID=36900 PROTO=TCP SPT=80 DPT=49239 WINDOW=65535 RES=0x00 ACK SYN URGP=0

IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=61.227.212.252 DST=MEINE_IP LEN=90 TOS=0x00 PREC=0x00 TTL=98 ID=35675 PROTO=UDP SPT=18706 DPT=51413 LEN=70
```

Nachtrag: ich habe gerade mal mit arp herumgespielt:

```
Aleph linux # arp -v

Address                  HWtype  HWaddress           Flags Mask            Iface

91-65-147-254-dynip.sup  ether   00:01:5c:31:19:40   C                     eth0

Einträge: 1   Ignoriert: 0   Gefunden: 1
```

Ich komme von hier aus gerade leider nicht ans Webinterface des Modems, aber ich bin mir absolut sicher, dass das eine andere MAC-Adresse hat (das hatte ich schon recht früh überprüft). Wäre es möglich, dass irgendein Router beim Provider da querschießt? Wobei dabei ja eigentlich nicht der Header des Pakets geändert werden dürfte, vermute ich mal...

Und noch ein Nachtrag: habe mal meinen Router von außen gepingt und ICMP-Pakete droppen lassen:

```
IN=eth0 OUT= MAC=00:27:0e:08:f1:8d:00:01:5c:31:19:40:08:00 SRC=134.76.184.67 DST=MEINE_IP LEN=60 TOS=0x00 PREC=0x00 TTL=116 ID=3024 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=38656
```

Nach wie vor finde ich es merkwürdig, dass die MAC-Adresse des Ursprungsrechners nicht die ist, die der Ursprungsrechner wirklich hat.

MfG Jimini

----------

## Jimini

Gnarf...mir fiel eben ein, dass MAC-Adressen doch eigentlich nicht geroutet werden...daran wirds dann wohl auch liegen, wieso alle gedroppten Pakete immer die selben MAC-Adressen im Header haben.

MfG Jimini

----------

## Treborius

ich habe gerade mal dmesg nachgeschaut, und wenn ich sehe was bei mir alles

an paketen weggeschmissen wird, dann hast du noch glück

bei mir werden pro sekunde ca 10 pakete gedropped, sollte mir das sorgen machen?

ich logge das nicht, hab mich bei kd inzwischen damit abgefunden

----------

## Jimini

Ich habe in den letzten Tagen viel Zeit damit verbracht, mir die gedroppten Pakete mal genauer anzuschauen. Die überwiegende Mehrheit will an >10000, darum kümmere ich mich nicht. Nur eine Sache fiel mir auf: teilweise werden Pakete mit dem Ursprungsport 80 verworfen - ein whois ergab, dass es sich um Webserver handelt, die ich regelmäßig besuche. 

Hier sind die entsprechenden Zeilen aus meinem Script:

```
### Default-Policy: alles droppen

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

### Default-Policy: alles natten, erst beim Filtern verwerfen

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

### Akzeptiere Verbindungsaufbauten aus dem LAN

iptables -A FORWARD -s $intern -i $lan -o $wan -j ACCEPT

iptables -A INPUT -s $intern -i $lan -j ACCEPT

### Akzeptiere alle Pakete, die zu einer aufgebauten Verbindung gehoeren

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

Es ist jetzt nicht so, dass ich Probleme beim Surfen hätte, es funktioniert alles reibungslos. Es kann natürlich auch sein, dass die Server von sich aus eine Verbindung beginnen (ich habe jetzt keine Ahnung, ob irgendwelche Flashgeschichten oder irgendwas in der Art sowas verursachen können) und da die Verbindung nicht den Status "ESTABLISHED" oder "RELATED" hat, werden die Pakete eben gedroppt.

In dem Zusammenhang möchte ich noch erwähnen, dass der gestrige Versuch, einen WOW-Patch herunterzuladen, zu massig DROP-Meldungen im Log führte - obwohl die Ports freigegeben waren und die Verbindung klar von meinem Rechner ausging, also sowieso hätte erlaubt sein müssen. Aber es war ja ohnehin klar, dass mir im letzten Wochenende der Semesterferien nicht langweilig werden wird ;)

MfG Jimini

----------

## dtmaster

Ich bin auch bei Kabel Deutschland und kann mich nicht beschweren.. Habe keinerlei solche probleme.. Weder mit meinen localen gentoo servern noch mit windows oder meinem gentoo rechner..

Config ganz einfach..

Kabel Modem => Router (verbindet ins inet) => uplink meines GB 16 Port (19") Switch der dann alles an die Server / Rechner verteilt..

----------

