Bouncy 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 Ziel-IP: 195.50.147.58 Zielport: 80 Protokoll: http Zielnetzwerk: Client-IP: 195.50.147.58 Quellport: 0 Quellnetzwerk: Aktion: Verweigerte Verbindung Regel: Clientbenutzername: anonymous URL: http://server/selfupdate/iuident.cab oder http://server/autoupdate/getmanifest.asp oder http://server/wutrack.bin?... oder http://server/iuident.cab?... Das ist der Logeintrag im ISA06-Server, er wiederholt sich 3-5 mal alle 10 Minuten (bzw. die 3 letztgenannten URLs alle 5 Stunden). 195.50.147.58 ist die externe Netzwerkkarte des ISA-Servers und "server" sein (wenig einfallsreicher) Name. Er ist zugleich Domänencontroller und noch einiges mehr (ja, ich weiß, no comment...). Die Standardwebsite läuft unter Port 800, der Weblistener des ISA auf 80 mit FBA. Daher a) was genau (außer "irgendwas mit Update") versucht der Server hier überhaupt zu tun und b) wie sollte eine Regel formuliert sein die das zuläßt, sofern das denn überhaupt sein sollte? Und fast noch interessanter: warum wird diese IP bei dieser Aktion keinem Netzwerk zugeordnet? Normalerweise ist das ja "Lokaler Host", und bei anderen Zugriffen funktioniert diese Zuordnung ja auch. Und warum ist der Quellport 0? Und warum wird "http" hier klein geschriebn, bei allen anderen HTTP-Anfragen aus externen und internen Netzwerken jedoch HTTP groß? Dieser Eintrag verwirrt mich total, vielleicht kann ja mal einer Licht in mein Dunkel bringen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.