Re: Ursache für Verbindungsaufbau?

To: debian-user-german@lists.debian.org
Subject: Re: Ursache für Verbindungsaufbau?
From: Gerhard Brauer <gerhard.brauer@web.de>
Date: Mon, 19 Jul 2004 12:43:24 +0200
Message-id: <[🔎] 20040719104324.GA17084@ws01.kis.te>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 517CF7F08A05D4118C380000E869BFA44E4F5D@emg_ntserv2>
References: <[🔎] 517CF7F08A05D4118C380000E869BFA44E4F5D@emg_ntserv2>

Gruesse!
* R.Schade@tu-braunschweig.de <R.Schade@tu-braunschweig.de> schrieb am [19.07.04 10:32]:

> Hallo,
> 
> wie kann ich quasi automatisiert den Verursacher für Verbindungsanfragen ins
> Internet heraus bekommen? Hintergrund ist der, dass der Internetzugang über
> einen Woody-Server mit einem DSL-Zeittarif  geschieht. Da dieser in einer
> Firma steht, möchte ich gern, dass er Nachts und am Wochenende "Ruhe" gibt,
> damit ein kleinerer Tarif gewählt werden kann. 
> Auf dem Server selber sind alle Skripte und Crondienste so angepasst (meine
> ich jedenfalls; /etc/crontab, /etc/cron.d, /etc/cron.*,
> /var/spool/cron/crontabs/*), dass hier nichts außer der Reihe passieren
> sollte. Ein weiterer Woody-Server, der ebenfalls ständig an ist und den
> anderen Server als Gateway nutzt, ist ebenfalls so konfiguriert, dass er
> z.B. Virenupdate's nur zu bestimmten definierten Zeiten holt. Trotz dem wird
> alle 10 Minuten eine Verbindung aufgebaut (24h lang, jeden Tag). 
> Wie kann ich über Logs herausbekommen, wer diese Verbindungen verursacht?
> Ich kann nicht mal sagen, von welchem Server diese initiiert werden. Kann
> man da etwas mit der Logfunktionalität von iptables was machen oder gibt es
> Möglichkeiten in den ip-up-Skripten? Mir würde die Rechner-IP, die die
> Verbindung haben will und evtl. die IP, von der etwas angefragt wird, schon
> für weitere Untersuchungen reichen.

Wie dir schon geschrieben wurde, lass iptables alle Pakete dieser
10-min Intervalle ins syslog schreiben. Dann kannst du anhand der
zeitlichen Abfolge den Verursacher anhand geloggtes Paket <-> pppd
Einwahl erkennen.

I.d.R. sind das DNS(=Nameserver)-Anfragen (=Port tcp/udp 53). Wenn
ihr in eurem Netz einen eigenen Nameserver verwendet, muß der
wirklich alle Adressen die im lokalen LAN vorkommen auflösen können
und alle Clients dürfen nur diesen DNS benutzen. Bei Anfragen nach
"draußen" ist es dann halt eine Frage der Konfiguration, ob eine
nicht beantwortete Anfrage einen Dial-out auslöst.

Wenn ihr keinen eigenen DNS verwendet, kannst du evtl. zu betsimmten
Zeiten DNS-Anfragen (=Port udp/tcp 53) über das externe Interface
per iptables-Regel sperren.

Allerdings würde ich ab einer gewissen Anzahl PCs auf jedenfall
einen eigenen DNS einrichten.

Mein Favorit in kleinen LANs, bei denen der DNS des Providers nach
der Einwahl mitbenutzt wird, ist dnsmasq. apt-cache show dnsmasq
gibt dir weitere Infos. Oder halt bind, ist IMHO aber meistens
Overkill.

 
> Danke, Ralf
 
Gruß
	Gerhard

Reply to:

Follow-Ups:
- Re: Ursache für Verbindungsaufbau?
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- Ursache für Verbindungsaufbau?
  - From: R.Schade@tu-braunschweig.de

Prev by Date: Re: Ursache für Verbindungsaufbau?
Next by Date: Re: Bidwatcher oder Sniper
Previous by thread: Re: Ursache für Verbindungsaufbau?
Next by thread: Re: Ursache für Verbindungsaufbau?
Index(es):
- Date
- Thread