traffiq analysieren

[Hippo 11]

Hallo,

unser Exchange Server 2007, welche auf einem 2008 Server (aktuelle Patche) läuft, verursacht laut unserer Firewall jeden Menge traffic die geblockt/verworfen wird. Ich würde nun gerne wissen, welches Programm / welcher Dienst diesen Verkehr verursacht. In der Fitrewall habe ich mal das Login hochgesetzt und sehe, dass unser Exchange Server über Port 80 mit unserer UTM (Firewall/Proxy/Default Gateway) spricht, die das aber blockt. Schaue ich mir das auf dem Exchange mit TCPView von Sysinternals an, sehe ich nur den Process „System“, der als lokalen Port 80 hat. Bringt mir so eigentlich auch nichts.

Wie kann ich der Ursache bzw. den Verursacher des Verkehrs, welcher lokal über Port 80 läuft herausfinden?

 

Danke schon mal.

[testperson 1.677]

Hi,

 

du solltest nach dem Remote-Port http oder 80 ausschau halten. Aber prüfe doch erstmal an der Firewall wo der Exchange denn hin möchte.

 

Gruß

Jan

[Hippo 11]

Es sieht wie folgt aus (Auszug aus Firewall Protokoll):

 

"IP-Adresse EX-SRV" : 80 "IP-Adresse UTM" : 44606 [ACK PSH FIN] len=127 ttl=128 tos=0x00 srcmac=0:00:00:00:00:00 dstmac=1:11:11:11:11:11

Oder Anstelle vom Port 44606  steht z.B. 25514 oder 27302

[testperson 1.677]

Hi,

 

in dem Fall sieht es so aus, dass die UTM etwas vom Exchange auf Port 80 will. Was ist das für eine UTM und was ist da denn so alles konfiguriert?

 

Gruß

Jan

[Hippo 11]

Das ist eine Sophos UTM 320 die "alles" macht. Firewall, IPS, Webproxy, Antivirus, Web Server Protection (Owa, ActiveSync) ...

[testperson 1.677]

Hi,

 

Web Server Protection (Owa, ActiveSync) ...

 

dann schau doch da mal nach..

 

Gruß

Jan

[Hippo 11]

Ok, da werde ich mal nachforschen.

Danke