alle 15 Minuten Verbindungsaufbau von Win98-Client
Moin Moin, ich habe einen Linux-Rechner als Server/Internet-Router für mein kleines Heim-Netzwerk (zwei weitere Win98-Clients) eingerichtet. Im Server ist eine AVM Fritz/PCI mit Dial-on-demand für den Internetzugang konfiguriert. Alles klappt prima bis auf die Tatsache, daß offenbar ein Win98-Client ziemlich genau alle 15 Minuten eine Internet-Verbindung aufbaut, ohne das auf dem Client irgendwelche Programme offen sind. Ich habe mir das ganze schon mal mit IPTRAF näher angeschaut. Hier ein Ausschnitt aus dem Log: Wed Oct 24 23:17:28 2001; UDP; eth0; 234 bytes; from 192.168.97.2:netbios-dg to 192.168.97.255:netbios-dg Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:29 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:30 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:32 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:33 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 212.7.128.162:domain Wed Oct 24 23:17:33 2001; UDP; ippp0; 130 bytes; from 212.7.128.162:domain to 192.168.97.2:netbios-ns Wed Oct 24 23:17:33 2001; UDP; eth0; 130 bytes; from 212.7.128.162:domain to 192.168.97.2:netbios-ns Wed Oct 24 23:17:38 2001; ARP request for 192.168.97.2; eth0; 28 bytes; from 004854852159 to 00e098068251 Wed Oct 24 23:17:38 2001; ARP reply from 192.168.97.2; eth0; 46 bytes; from 00e098068251 to 004854852159 192.168.97.2 ist die IP des Clients, 194.25.0.125 ist einer der in resolv.conf eingetragenen Nameserver, 212.7.128.162 ist die damals vom Provider vergebene IP-Adresse gewesen. Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. Weiß jemand den Grund dafür? Viele Grüße und Danke für eine Antwort Wolfgang -- Mit freundlichen Grüssen Wolfgang Wershofen mailto:wolfgang@wershofen.de
Am Die, 30 Okt 2001 schrieb Wolfgang Wershofen:
Moin Moin,
ich habe einen Linux-Rechner als Server/Internet-Router für mein kleines Heim-Netzwerk (zwei weitere Win98-Clients) eingerichtet. Im Server ist eine AVM Fritz/PCI mit Dial-on-demand für den Internetzugang konfiguriert. Alles klappt prima bis auf die Tatsache, daß offenbar ein Win98-Client ziemlich genau alle 15 Minuten eine Internet-Verbindung aufbaut, ohne das auf dem Client irgendwelche Programme offen sind.
Ich habe mir das ganze schon mal mit IPTRAF näher angeschaut. Hier ein Ausschnitt aus dem Log:
Wed Oct 24 23:17:28 2001; UDP; eth0; 234 bytes; from 192.168.97.2:netbios-dg to 192.168.97.255:netbios-dg Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:28 2001; UDP; eth0; 78 bytes; from 192.168.97.2:netbios-ns to 192.168.97.255:netbios-ns Wed Oct 24 23:17:29 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:30 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:32 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 194.25.0.125:domain Wed Oct 24 23:17:33 2001; UDP; eth0; 62 bytes; from 192.168.97.2:netbios-ns to 212.7.128.162:domain Wed Oct 24 23:17:33 2001; UDP; ippp0; 130 bytes; from 212.7.128.162:domain to 192.168.97.2:netbios-ns Wed Oct 24 23:17:33 2001; UDP; eth0; 130 bytes; from 212.7.128.162:domain to 192.168.97.2:netbios-ns Wed Oct 24 23:17:38 2001; ARP request for 192.168.97.2; eth0; 28 bytes; from 004854852159 to 00e098068251 Wed Oct 24 23:17:38 2001; ARP reply from 192.168.97.2; eth0; 46 bytes; from 00e098068251 to 004854852159
192.168.97.2 ist die IP des Clients, 194.25.0.125 ist einer der in resolv.conf eingetragenen Nameserver, 212.7.128.162 ist die damals vom Provider vergebene IP-Adresse gewesen.
Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. Weiß jemand den Grund dafür?
Ich glaube, das ist das Netbios-Protokoll der Windows-Rechner, das beim Durchsuchen des Netzes Nameserveranfragen triggert. Ohne es ausprobiert zu haben, kann ich mir zwei Lösungen denken: - Netbios abschalten (Du hast ja TCP/IP) - Über Firewall-Skript abfragen von internen Rechnern über Ports 137-139 nach außen verhindern. Gruß Christoph -- Christoph Maurer - Paul-Röntgen-Straße 7 - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
HAllo, at Tuesday 30.10.2001 (10:54 +0100), Wolfgang Wershofen wrote:
Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. Weiß jemand den Grund dafür?
Installiere Dir auf dieser Kiste eine Desktopfirewall. Am besten Zone Alarm, zu downaloaden unter http://www.zonelabs.com/ . Dann wirst Du den Übeltäter finden. Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) Registered Linux User #228306 HomePage http://www.macbyte.info/ PGP-Key http://www.macbyte.info/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
Moin. Wolfgang Wershofen wrote:
konfiguriert. Alles klappt prima bis auf die Tatsache, daß offenbar ein Win98-Client ziemlich genau alle 15 Minuten eine Internet-Verbindung aufbaut, ohne das auf dem Client irgendwelche Programme offen sind.
[...]
Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. Weiß jemand den Grund dafür?
Die Mitteilungswuetigkeit von Windows ist der Grund. Der Client teilt in regelmaessigen Abstaenden dem Netzwerk ueber ein Broadcast mit, dass er da ist. Das leitet der Router dann auch ins Internet weiter. Loesung: Ports 137-139 schliessen. Ciao, Mike
From: "Michael Renzmann"
Die Mitteilungswuetigkeit von Windows ist der Grund.
Hallo, Den Begriff "Mitteilungswütig" würde ich ich für Apple-Macintosh-Rechner reservieren, die allein durch rumstehen ein größeres Netzwerk in Grund und Boden quatschen können. (Als wenn man zu einer Schulklasse "Psssst!" macht, woraufhin alle untereinander "Psssst!" machen, darauf mit "Psssst!" antworten, und das gleiche Spielchen zur anderen Seite...) Ansonsten hast du Recht. ;) Gruß, Ratti
Am Dienstag, 30. Oktober 2001 um 01:54, schrieb Wolfgang Wershofen: WW> ich habe einen Linux-Rechner als Server/Internet-Router für mein kleines WW> Heim-Netzwerk (zwei weitere Win98-Clients) eingerichtet. Im Server ist WW> eine AVM Fritz/PCI mit Dial-on-demand für den Internetzugang WW> konfiguriert. Alles klappt prima bis auf die Tatsache, daß offenbar ein WW> Win98-Client ziemlich genau alle 15 Minuten eine Internet-Verbindung WW> aufbaut, ohne das auf dem Client irgendwelche Programme offen sind. WW> Ich habe mir das ganze schon mal mit IPTRAF näher angeschaut. Hier ein WW> Ausschnitt aus dem Log: WW> Wed Oct 24 23:17:28 2001; UDP; eth0; 234 bytes; from 192.168.97.2:netbios-dg to 192.168.97.255:netbios-dg WW> [...] WW> Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. WW> Weiß jemand den Grund dafür? Einfacher Grund: Windows Rechner besitzen "Netbios" Namen diese dürfen im Netzwerk nicht doppelt vorhanden sein. Das SMB-Protokoll, das mit diesen Namen umgehen kann, benutzt Dienste um solche Namen zu verwalten. hier netbios-dg = netbios-datagram Nun versucht dieser Dienst eine aktuelle Liste aller zur Verfügung stehender Namen zu halten. Das bedeutet er schickt unabhängig vom Transport-Protokoll (hier:TCP/IP) einen Broadcast an alle Netze siehe LOG: [...] netbios-dg to 192.168.97.255 <- Nun kann dein Server/Router nix mit diesem Broadcast anfangen, baut eine Internetverbindung auf und versucht diesen Broadcast aufzuschlüsseln, frägt über Nameserver diese ... dies wird ca. alle 15 min versucht! Deshalb Routing über bestimmte IP-Ports (vom internen Netzwerk -> Internet) verhindert lassen: Netbios-Ports 137-139. Gruß Thorsten Schifferdecker
TS> Am Dienstag, 30. Oktober 2001 um 01:54, schrieb Wolfgang Wershofen: WW>> ich habe einen Linux-Rechner als Server/Internet-Router für mein kleines WW>> Heim-Netzwerk (zwei weitere Win98-Clients) eingerichtet. Im Server ist WW>> eine AVM Fritz/PCI mit Dial-on-demand für den Internetzugang WW>> konfiguriert. Alles klappt prima bis auf die Tatsache, daß offenbar ein WW>> Win98-Client ziemlich genau alle 15 Minuten eine Internet-Verbindung WW>> aufbaut, ohne das auf dem Client irgendwelche Programme offen sind. WW>> Ich habe mir das ganze schon mal mit IPTRAF näher angeschaut. Hier ein WW>> Ausschnitt aus dem Log: WW>> Wed Oct 24 23:17:28 2001; UDP; eth0; 234 bytes; from 192.168.97.2:netbios-dg to 192.168.97.255:netbios-dg WW>> [...] WW>> Wie gesagt das Spielchen wiederholt sich regelmässig alle 15 Minuten. WW>> Weiß jemand den Grund dafür? TS> Einfacher Grund: TS> Windows Rechner besitzen "Netbios" Namen diese dürfen im Netzwerk TS> nicht doppelt vorhanden sein. Das SMB-Protokoll, das mit diesen Namen TS> umgehen kann, benutzt Dienste um solche Namen zu verwalten. TS> hier netbios-dg = netbios-datagram TS> Nun versucht dieser Dienst eine aktuelle Liste aller zur Verfügung TS> stehender Namen zu halten. Das bedeutet er schickt unabhängig vom TS> Transport-Protokoll (hier:TCP/IP) einen Broadcast an alle Netze TS> siehe LOG: [...] netbios-dg to 192.168.97.255 <- TS> Nun kann dein Server/Router nix mit diesem Broadcast anfangen, baut eine TS> Internetverbindung auf und versucht diesen Broadcast aufzuschlüsseln, TS> frägt über Nameserver diese ... dies wird ca. alle 15 min versucht! TS> Deshalb Routing über bestimmte IP-Ports (vom internen Netzwerk -> TS> Internet) verhindert lassen: TS> Netbios-Ports 137-139. TS> Gruß TS> Thorsten Schifferdecker Hallo Thorsten und alle anderen, vielen Dank für Eure Ratschläge. Irgendwie muß ich allerdings noch was anderes als Lösung gefunden haben, weil es mittlerweile keine ungewollten Verbindungen mehr vom Client aus gibt. Habe heute einiges am Server ausprobiert, während der Client ausgeschaltet war. Seit der Client wieder oben ist, passiert nix mehr. Schon komisch... Den Tip, daß Routing über die Netbios-Ports nach draussen nicht mehr zuzulassen, werde ich mir merken, fall es wieder auftaucht. Allerdings dazu meine Frage: Geht das auch mit der Personal Firewall, die ich im moment am Laufen habe? Dort stellt man ja nur das Device mit optionaler Maskierung ein. Oder muß ich dafür die SuSE-Firewall benutzen? Viele Grüße Wolfgang
participants (6)
-
Christoph Maurer -
Michael Raab -
Michael Renzmann -
Ratti -
Thorsten Schifferdecker -
Wolfgang Wershofen