Hi all,

ich habe einen SuSe Mailserver 6.3 ( mit ca. 200 Clients dahinter )der eigentlich schon seit Jahren wunderbar funzt , blos auf einmal kommen seltsame
Eintraege :

die normalen Eintraege bei Mailversand sehen so aus :

Auszug mit tcpdump -i eth1 > /log.txt :

11:31:23.734723 mail.xxx.de.3563 > proxy.xxx.smtp: P 623:1135(512) ack 172 win 32256 (DF)
11:31:23.735220 mail.xxx.de.3563 > proxy.xxx.smtp: P 1135:1647(512) ack 172 win 32256 (DF)
11:31:23.735713 mail.xxx.de.3563 > proxy.xxx.smtp: P 1647:2159(512) ack 172 win 32256 (DF)


so und nun kommen solche dazu :

11:12:44.629906 proxy.xxx.61904 > mail.micromix-computer.de.domain: 2023+ PTR? 13.10.16.172.in-addr.arpa. (43)
11:13:38.970840 proxy.xxx.61906 > mail.micromix-computer.de.domain: 2024+ PTR? 13.10.16.172.in-addr.arpa. (43)
11:31:23.842059 proxy.xxx.61919 > mail.micromix-computer.de.domain: 2032+ PTR? 13.10.16.172.in-addr.arpa. (43)
11:31:22.125845 mail.micromix-computer.de.domain > proxy.xxx.61918: 2031 NXDomain 0/1/0 (120)

So und nun steh ich vor nem Rätsel , wie krieg ich raus welcher von den 200 Windoof-Clients den Mist "anfraegt" ? Mit tcpdump hab ich diese Eintraege rausgefischt , aber
irgrendwie bringts mich net wieter !

Hat jemand einen brauchbaren Tipp ?

tcpdump -i?

denn wenn die anfragen rausgehen, müssen sie auf dem proxy auch reinkommen, ansonsten fragt dein proxy nach
ergo solltest auch die lanseite fragen.
eigener dns? socket-proxy?

cu/2 iae

was soll ich mit tcpdump -i? ??? ich hab doch schon tcpdump -i eth0 gemacht.

welche logfiles bringen mich dahin das ich herausfinde welche
ipadresse ( resp. client ) den unfug treibt ?

ich weiss nicht ob es ein socket-proxy ist . die kiste ist vor jahren
hingestellt worden von einem kollega .

du mußt doch wissen, was für eine maschine das ist und was die macht! wie willst du die denn sonst administrieren?

zum grundverständnis:
mit tcpdump -i lauscht man auf dem nach dem i angegeben interface. bis zu deinem zweiten posting war dies eine vermutung von mir, da du ja netter weise nun doch verraten hast, daß das tcpdump auf eth0 lief.

da dies offensichtlich mind. ein router ist, hat er mind zwei nic (physikalisch und / oder logisch) und ergo lauscht du mit tcpdump -i eth0 nur auf einer nic.

wäre eth0 das interne nic, dann würde das heißen, daß dein proxy.xxx eine anfrage an mail.micromix-computer.de stellt (aber dann würdest du diesen tcpdumpmitschnitt nicht von proxy.xxx haben), und zwar an den dns dort. wäre es die externe nic, und du hast routing aktiviert, solltest du mal an der internen nic lauschen, wer die anfrage stellt.

dritte möglichkeit: du hast kein routing aktiviert, ergo stellt dein proxy.xxx eh alle anfragen, dann sei die frage gestattet, ob du auf proxy.xxx ein dns am laufen hast, wenn ja, kann er derjenige sein, der diese frage stellt (was soll ein http-proxy auch mit port 25?), dann solltest du auf der internen nic lauschen, wer an deinen internen dns auf port 53 ankommt

cu/2 iae

es ist ein mailserver und er hat zwei interfaces eth0 / eth1 .
er ist zusätzlich "router" < dahinter kommt ein ciso > und das schon seit jahren . bisher lief er immer ,nie wurde was geandert . <<wie denn auch , wenn der kunde
kein rootpasswd hat !! >> ob das ding ein socket oder sonstiges iss
spielt fuer mich kein walzer . danke fuer dein "grundverstaendnis" :-)
es iss mir klar das diese anfrage von irgendwo her aus dem netz
kommt , blos wo soll man das anpacken , wenn`s nur sporadisch ist.

immer noch fehlt mir die angabe :welches log gibt mir den hinweis
wer (mit welcher ip ) was wann tut oder muss ich mir das jetzt mit
irgendwelchen "verstaendnis-antworten" zusammenreimen ?

reimen? damit wirst du nicht weiter kommen

ich gehe davon aus, das proxy.xxx der mailserver / router ist. eth0 extern, eth1 intern
tcpdump gibt alles auf alle nic aus. ein- und ausgang
tcpdump -i eth0 alles was raus geht und von draußen rein kommt
tcpdump -i eth1 alles was vom lan rein kommt und dahin raus geht

mails werden in maillog gelogt (normalerweise)
tail -f /var/log/maillog
wenn nicht -> blick in die sysconfig unter /etc

wenn du kein root-pw hast, wie konntest du dann tcpdump starten?

cu/2 iae

proxy.xxx ist der mailserver
tcpdump auf eth0 / eth1 bringt mir das was ich schon am
anfang gepostet hab .

maillog gibt mir auch nix was ich brauchen kann.
/var/log/messages sagt au nix gscheites

ich hab das rootpw . ich wollte nur damit sagen das
die kischt scho ewig läuft und erst seit kurzem
diese omminoesen eintraege sind ( ich glaub das
schreib ich dir jetzt schon zum 3. mal , oder ? )

wenn dir all das nichts bringt, was willst du denn dann wissen?

du siehst mit tcpdump wie der mailserver eine domainabfrage macht.
er fragt den mail.micromix-computer.de ob er einen rechner im 172.16.10.13.0 Netz kennt -> reverse-lookup. was genau er fragt, kannst zB mit dem Tool ethereal erfahren, der logt die Pakete inklusive inhalt mit.
Schlußfolgernd: Dein MailServer hat eine eMail für einen Benutzer bei einer Domain die wahrscheinlich bei micromix-computer.de gehostet wird.

sofern es hier um emails geht. wenn er natürlich router ist, kann alles mögliche darüber laufen, und dann hilft dir nur sniffen, oder n socket-proxy und dann ist die frage, ob du überhaupt die daten sehen düftest etc etc.
denn das dein mailserver diese anfrage stellt, deutet daraufhin, da es ja offensichtlich seitens lan nach draußen solchen traffic nicht gibt, daß bei dir ein dienst läuft, der diese anfrage macht. dazu könnte man ps aux oder auch top bemühen, damit du herausbekommst, welche dienste laufen.

cu/2 iae

jetzt blick ichs gar nimme ...

wieso drehst du aufeinmal die ip um ? häää ? hab ich jetzt zuviel sonne
abbekommen die tage ?

11:31:23.842059 proxy.xxxx.61919 > mail.micromix-computer.de.domain: 2032+ PTR? 13.10.16.172.in-addr.arpa. (43)

-->>du machst das draus 172.16.10.13.0 Netz

erkläärungsnotstand...

Original geschrieben von zeroo
-->>du machst das draus 172.16.10.13.0 Netz


er macht es nicht draus, das ist so.

proxy.xxxx fragt den dns-server auf mail.micromix-computer.de nach dem hostnamen für die ip 172.16.10.13. ersichtlich an PTR 13.10.16-172.in-addr.arpa. die ip-adressen der reverse-zonen werden umgedreht, d.h. das niederwertigste quad zuerst.

-j

@mbo
Anmerkung am Rande: auch mit tcpdump kann man in die Pakete sehen.

merci2all , ich werd mir morgen gleich mal die 172.x.x.xkischte
mal vornehmen . weil jetzt isses ja eine aus dem"privaten" bereich
bei der ich schon vermute wer da seine finger im spiel hat .

cu

mäh :(

korrektur:

%s/er fragt den mail.micromix-computer.de ob er einen rechner im 172.16.10.13.0 Netz kennt -> reverse-lookup/er fragt den mail.micromix-computer.de ob er den rechner 172.16.10.13 kennt -> reverse-lookup/g

... ich war jung und braucht das geld.

Und natürlich kann man mit tcpdump auch in die pakete "sehen".
Und trotzdem: Ethereal is angenehmer ;)

Was war nur gestern los mit mir ...

cu/2 iae