Hallo,

es ist zum verzweifeln.
SUSE 7.0 als Gateway zum Internet. SQUID2.
SuSEfirewall inkl. MASQ für ein paar Windoof Rechner im Netz. Ohne MASQ klappt das surfen, E-Mail etc. Für den FTP Bereich benötige ich MASQ. Sobald diese gesetzt ist, wählt sich der Linux Rechner alle 80 sek. ins Internet ein. Routen sind korrekt gesetzt. Ebenso die hosts Datei (kein DNS). In der Firewall sind folgende Port geöffnet: 20, 21, 25, 53, 80, 110, 113, 443
Mit MASQ klappts auch mit FTP, wäre nur diese ständige Einwahl nicht.
Über Knetdump sehe ich, das die Anwahl durch irgendein Signal von den Windoof Rechnern ausgelöst wird. Ich vermute nach wie vor, dass das die Time to live Signale sind. In der message Datei steht folgendes: KERNEL: OPEN: 192.168.0.99 -> 202.106.185.107 TCP, port: 61041 ->25
25 ist ja nun SMTP. Auf den Windoof Rechnern läuft jedoch kein Mailprogramm das etwas versenden möchte. Ein Redirect von 61041 funktioniert nicht, da bei der nächsten Anwahl dann 61042 benutzt wird. Frage: Warum wird auf den Port 25 zugegriffen? Wie kann ich das verhindern?

Bin für jede Antwort dankbar. Bitte sendet mich nicht auf eine Page, die sich allgemein mit MASQ und Firewall beschäftigt, da ich die alle schon durch habe.

Besten Dank

Locutus

Hallo locutus,

ich habe zwar auch keine Lösung, aber das Phänomen interessiert mich.

Gehen die Port-25-Anfragen immer an die gleiche IP? Dann liegt der Verdacht nahe, dass du ausspioniert wirst oder ungewollt an einer DoS-Attacke teilnimmst. Ein Trojaner o.ä. könnte der Mailclient sein.

Ich würde den Port mal dicht machen und die Windosen mal genau unter die Lupe nehmen. Oder, wenn die Anfragen immer an die gleiche IP gehen, alle Anfragen an diese IP auf einen anderen lokalen Rechner umleiten und dort sehen, was los ist.



------------------
Mit freundlichen Gruessen / Best regards

Leander Kirstein-Heine
--
COMPUTER & | Engelplatz 11 Phone: +49 3641-210.401
NETWORK | D-07743 Jena (Germany, EC) Fax: +49 3641-211.650
CONSULTING | eMail: lkh@cnc-online.net URL: http://cnc-online.net/ (http://www.cnc-online.net/)

hi,

das wirklich sehr interessant.

ein dns kann die ip nicht auflösen,

vermutlich dyn-ip eines providers ?

würde ich mal im auge behalten ...

mfg.
thom

Hi thom,

stimmt. Ich konnte bisher auch nicht herausfinden, wem die IP zugeteilt ist. Provider, die mit dynamischen IP's arbeiten, müssen die aber auch irgendwoher haben ...


------------------
Mit freundlichen Gruessen / Best regards

Leander Kirstein-Heine
--
COMPUTER & | Engelplatz 11 Phone: +49 3641-210.401
NETWORK | D-07743 Jena (Germany, EC) Fax: +49 3641-211.650
CONSULTING | eMail: lkh@cnc-online.net URL: http://cnc-online.net/ (http://www.cnc-online.net/)

Hallo,

ein Spy Programm hatte ich ausgeschlossen, da die Rechner mit den aktuellsten Viren Scanner und Spy Searchern jeden Tag gecheckt werden.

Jedoch scheint Ihr recht zu haben. Die IP Nummer zeigt Richtung USA. Nachtigal ich hör dir trapsen!!!
Also alle Windows Geräte runtergefahren bis auf einen. Diesen formatiert, Windows 98 wieder draufgesetzt und siehe da, nun läuft alls wie es soll. Werde nun alle Programme nach und nach installieren (übrigens alle gekauft, nichts geknacktes!) und werde mal schauen nach welcher Installation die Anwahl wieder beginnt. Schätze jedoch, dass nicht diese Programme dran schuld sind, eventuell kam irgendwas übers Internet.

Schaun mer mal.

Bis dann

locutus