Hallo alle,...
...hat's hier jemanden, der sich (möglichst mehr als ich) mit dem FLI4L auskennt? Ich hab' mich die letzten zwei Wochen eher zwangsweise damit anfreunden müssen ($CHEF will eine GNU/Linux-Firewall, deren Funktions- und Installationsweise er noch halbwegs nachvollziehen kann) und kämpfe derzeit an einer Installation mit einem unschönen Problem.
Szenario: Netzwerk (Fileserver leider auf W2k, Mailhost auf Debian, dazu fünf W2k - Clients). Problem: In bestimmten Situationen baut der Router automatisch Verbindungen auf, hält diese auch oben und schickt Daten nach draußen - immer wenig, aber genug, um den Link oben zu halten. Das Ganze passiert bevorzugt dann, wenn ich auf irgendeiner der Maschinen den IE gestartet hatte und der (dusslige Startseiteneinstellungen der Nutzer...) die MSN-Site als erstes geöffnet hat. Im Nachhinein hören diese Einwahlversuche des Routers eigentlich erst nach einem Reboot der Maschine auf; laut Syslog auf dem fli4l sind stets irgendwelche TCP- (von den Ports her HTTP-) - Requests auf Server, die irgendwie mit M$ zu tun haben, der Grund für die Einwahl.
Die Sache ist mir etwas schleierhaft. Fragen daher:
[a] Kennt jemand ein OPT oder dergleichen für den FLI4L, welches, wenn der Router einwählt, auch feststellt, von welchem Rechner im Netz die Anforderung kam, die die Einwahl verursacht hat? [b] Hat jemand mit FLI4L schonmal gleichartiges erlebt und eventuell eine Lösung parat (auf dem Ding läuft übrigens squid als Cache/Proxy, kann's damit 'was zu tun haben)?
Anyhow, danke im Voraus, schönes WE Euch allen...
Cheers, Kris
On Sun, Dec 08, 2002 at 04:19:13AM +0100, Kristian Rink wrote:
Hallo alle,...
Hi Kristian,
Szenario: Netzwerk (Fileserver leider auf W2k, Mailhost auf Debian, dazu fünf W2k - Clients). Problem: In bestimmten Situationen baut der Router automatisch Verbindungen auf, hält diese auch oben und schickt Daten nach draußen - immer wenig, aber genug, um den Link oben zu halten. Das Ganze passiert bevorzugt dann, wenn ich auf irgendeiner der Maschinen den IE gestartet hatte und der (dusslige Startseiteneinstellungen der Nutzer...) die MSN-Site als erstes geöffnet hat. Im Nachhinein hören diese Einwahlversuche des Routers eigentlich erst nach einem Reboot der Maschine auf; laut Syslog auf dem fli4l sind stets irgendwelche TCP- (von den Ports her HTTP-) - Requests auf Server, die irgendwie mit M$ zu tun haben, der Grund für die Einwahl.
Evtl. könnte es sich bei den Packeten auch um NetBIOS Anfragen handeln. Du müsstest in der Firewall einfach diese Packete für den Forward nach draussen blocken... Da ich aber keine Ahnung von der fli4l habe kann ich dir nicht genaueres sagen.
Ciao, Tobias
On Sun, Dec 15, 2002 at 03:25:07PM +0100, Tobias Koenig wrote:
On Sun, Dec 08, 2002 at 04:19:13AM +0100, Kristian Rink wrote:
Hallo alle,...
Hi Kristian,
Hallo, und danke für die Antwort...
Szenario: Netzwerk (Fileserver leider auf W2k, Mailhost auf Debian, dazu fünf W2k - Clients).
[snip]
Evtl. könnte es sich bei den Packeten auch um NetBIOS Anfragen handeln. Du müsstest in der Firewall einfach diese Packete für den Forward nach draussen blocken...
Hmmm, die Idee hatte ich auch erst, paßt aber nicht, weil der FLI4L die NetBIOS-Ports standardmäßig zumacht und die in den Logfiles protokollierten Connects dafür auf den falschen Ports liegen (es sei denn, NetBIOS connected auch über Port 80? - hatte ich aber bislang noch nicht). Naja, ich werd' mir das Teil morgen nochmal angucken und sehen, was dort am Wochenende (nur Router und Fileserver laufend, keine Clients, und Samstagmorgen gegen 1:20 Uhr schien die Problematik vorübergehend behoben zu sein) so passiert ist. Vielleicht war Freitag wirklich kein guter Tag für die Arbeit mit Technik... *grübel*
Cheers, schöne Woche Euch allen... Kris
On Sun, Dec 08, 2002 at 04:19:13AM +0100, Kristian Rink wrote:
(von den Ports her HTTP-) - Requests auf Server, die irgendwie mit M$ zu tun haben, der Grund für die Einwahl.
[b] Hat jemand mit FLI4L schonmal gleichartiges erlebt und eventuell eine Lösung parat (auf dem Ding läuft übrigens squid als Cache/Proxy, kann's damit 'was zu tun haben)?
Mit dem squid könntest Du doch die entsprechenden Seiten möglicherweise blocken. Vielleicht sind bei manchen Seiten zu kurze refresh-Zyklen eingestellt...
Du könntest zur Kontrolle auch mal auf einer anderen Kiste ein ethereal mitlaufen lassen und geeignet filtern.
Bert
On Sun, Dec 15, 2002 at 09:20:53PM +0100, Bert Lange wrote:
On Sun, Dec 08, 2002 at 04:19:13AM +0100, Kristian Rink wrote:
[b] Hat jemand mit FLI4L schonmal gleichartiges erlebt und eventuell eine Lösung parat (auf dem Ding läuft übrigens squid als Cache/Proxy, kann's damit 'was zu tun haben)?
Mit dem squid könntest Du doch die entsprechenden Seiten möglicherweise blocken. Vielleicht sind bei manchen Seiten zu kurze refresh-Zyklen eingestellt...
Ich vermute auch 'was Derartiges. Sicher bin ich bislang noch nicht, aber zumindest auf einem guten Weg (s.u.). Das Blocken der Sites wird die letzte Übung sein, die ich unternehme, wenn alles andere scheitert.
Du könntest zur Kontrolle auch mal auf einer anderen Kiste ein ethereal mitlaufen lassen und geeignet filtern.
Stimmt, darüber hab' ich auch schon nachgedacht. Mittlerweile hab' ich allerdings einen etwas einfacheren Weg im OPT_NGREP gefunden; das macht eigentlich mehr oder weniger genau das, was ich will, und vergrößert das FLI4L-OPT nur unwesentlich. :]
Anyhow, dankeschön für die Anregungen. :) Cheers, Kris
lug-dd@mailman.schlittermann.de
-
Bert Lange -
Kristian Rink -
Tobias Koenig