Re: Firewall / Traffic checken

To: debian-user-german@lists.debian.org
Subject: Re: Firewall / Traffic checken
From: Christoph Haas <haas@debian.org>
Date: Tue, 30 Oct 2007 15:59:23 +0100
Message-id: <[🔎] 20071030145923.GB27271@torf.workaround.org>
Mail-followup-to: Christoph Haas <haas@debian.org>, debian-user-german@lists.debian.org
In-reply-to: <[🔎] 472744E3.1070200@web-hh.de>
References: <[🔎] 472744E3.1070200@web-hh.de>

On Tue, Oct 30, 2007 at 03:51:15PM +0100, Gerhard Wendebourg wrote:
> da ich immer wieder eigenartige Vorgaenge in meinem Internet-Traffic 
> beobachte, die Frage, wie ich die in den Griff bekommen kann.
> 
> Ich sehe zb. immer wieder TCP-Verbindungen mit fremden Rechnern, die ich 
> nicht identifizieren kann.

Könnten Skript-Kiddies mit Langeweile sein. Oder wird die Verbindung aus
deinem Netz heraus aufgebaut?

> Ich denke daran, jeden TCP-Traffic vorbeugend zu unterbinden, bei dem 
> ich keine Namensaufloesung ueber die angesteuerte IP bekomme.

Eine Lösung dafür hätte ich nicht parat. Man müsste ja in den Kernel
eingreifen.

> Kann man ethereal / wireshark oder aehnliche Analysetools so einstellen, 
> dass ich die Namensaufloesung anstelle der IPs angezeigt bekomme?

Wireshark: View -> Name Resolution -> Resolve Names

> Es geht vor allem um Connections, die ohne mein Zutun aufgebaut werden, 
> zb. durch irgendeine geladene WebSite.

Ich habe dafür einen Squid laufen, der alles protokolliert. Und aus
meinem lokalen Netz ist Port 80 nach draußen nur über den Proxy erlaubt.

> Da ich haeufig eine groessere Anzahl in Tabs geladen habe, kann ich nur 
> unter Schwierigkeiten (wenn ueberhaupt) identifizieren, wer solche 
> Verbindungen aufbaut.

Dafür ist ein Squid Gold wert.

Gruß,
 Christoph

Reply to:

References:
- Firewall / Traffic checken
  - From: Gerhard Wendebourg <gw@web-hh.de>

Prev by Date: Firewall / Traffic checken
Next by Date: Re: libpam-mount
Previous by thread: Firewall / Traffic checken
Next by thread: Promise SATA 300 TX4
Index(es):
- Date
- Thread