DNS Abfragen

[TIR 10]

Mein W2K Server macht über Port 53 DNS-Abfragen an Ip-Adressen, die ich nicht über den Internetexplorer aufrufen kann, und diese IP-Adressen sind auch nicht in der DNS eingetragen.

Einwahl ca. alle 2 Minuten zu ca. 20-30 Unterschiedlichen IP-Adressen.

Was kann das sein ?

Danke für Eure Hilfe

[haeckle 10]

HI,

 

hast Du evtl. Rechner im Netz, vorzugsweise W98 Clients, die nicht richtig ins DNS eingtragen wurden, aber trotzden, z.B. über WINS, eine Verbindung zu Deinem Netz haben?

[TIR 10]

WINs ist nicht aktiviert, aber trotzdem hast Du recht, denn es befindet sich in meinem Netz ein W98 Client, der nicht in der DNS registriert ist, aber der DNS Server ist bei dem Client eingetragen. NSLOOKUP funzt bei W98 nicht, wie kann ich denn den Client trotzdem in die DNS eintragen! Manuell ?

[haeckle 10]

Hallo TIR,

 

Du kannst jeden Host auch manuell in DNS eintragen.

Dazu rufst Du die DNS-Console auf und gehst dort zu der

Forwardlookup-Zone Deiner Domäne.

Mit einem rechten Mausklick auf diese Zone, erhälst Du die Möglichkeit einen neuen Host anzulegen.

Hier trägst Du nun den Rechnernamen des Rechners und dessen IP ein. Fertig ist der Eintrag.

[jvogler 10]

W98 Clients registrieren sich von Haus aus nicht automatisch im DNS. Ist auch nicht unbedingt notwendig.

 

Mal ne andere Frage, wie sieht die DNS-Einstellung (LAN-Schnittstelle) am W2k Server aus? Alle Einträge auf den internen (also auf sich selbst) oder auf einen öffentlichen DNS-Server?

 

Jochen

[TIR 10]

Es sind schon alle Einträge auf den interenen DNS Server.

Welche Einstellung kann ich an einem W98 Client vornehmen, damit er den DNS kennt.

Desweiteren habe ich festgestellt, das jeder Cllient, egal ob W98 oder W2K eine DNS abfrage über Port 67, 68, 138 an externe IP´s sendet oder an 255.255.255.255 oder 192.168.10.255.

Was soll den das ?

Unser Internes Netz hat die IP 192.168.10.0

Danke

 

Gruß

[grizzly999 11]

Das sind keine DNS-Abfragen an Port 67,68,138, das sind DHCP und NetBIOS-Pakete an Broadcast-Adressen. Alles ganz normal.

 

Und dein DNS wir im Internet Abfragen für Namensauflösungen an Root-DNS senden. Auch alles ganz normal.

 

grizzly999

[TIR 10]

Ganz normal, kann sein aber ich finde es ist nicht normal wenn alle 2 Minuten eine DNS Abfrage ins Internet startet, und das

kann u.u bei einer normalen ISDN Leitung sehr sehr teuer werden.

Ist es denn nötig, das er alle 2 Minuten meint, er müsse mal checken was Sache ist.

Mit der IP (192.168.10.255) ist immer noch komisch, kein Computer oder Drucker o.ä hat diese IP, ich kann Sie aber Pingen, und der LANguard NetworkScanner kann kein Eintrag unter dieser Adresse finden ?

[grizzly999 11]

Ich weiss ja nicht wieviel Ihr im Internet macht, und was er da abfragt, aber das kann man mit einem Netzwerkmonitor ja herausfinden und dann genauer untersuchen. Ferndiagnosen oder Raten is' da leider nich'.

Und ie 10....255 ist die Broadcastadresse fürs Subnetz, an die werden immer wieder Broadcastpakete gesendet. Passiet in jedem Netz, und ist ganz normal.

 

 

grizzly999

[TIR 10]

Mhhh.. im Prinzip hast Du Recht, aaaber.....

 

.... Mein Netzwerkmonitor ist eine WatchGuard Firewall, und dieser zeigt mir, wenn ein User ins Internet geht, oder wenn der Server eine DNS Abfrage macht, denn nur der DNS Server darf das, und sonst keiner, also sollte die Version mit den Clients auscheiden, oder ?

[grizzly999 11]

Mein Netzwerkmonitor ist eine WatchGuard Firewall

Also ich verstehe unter Netzwerkmonitor was anderes, aber naja....

 

Bloß weil du, wie du es beschreibst eine Regel hast, dass nur bestimmte Rechner ins Internet dürfen, heißt das nicht, dass Clients oder auch Server nicht mehr broadcasten. :suspect:

 

 

grizzly999

[TIR 10]

Die Clients dürfen alle ins Internet, das bekomme ich auch angezeigt wenn die IPxx.xx.xx.xx die IP xx.xx.xx.xx aufruft. Nur der eine Server auf dem der DNS Server installiert ist, darf überhaupt über den DNS Port nach aussen.

Oder verstehe ich das jetzt falsch, könnte es auch sein, dass die Clients eine Abfrage an den DNS starten und dieser die Ip nich auflösen kann, und der DNS Server dann eine Verbindung ins Internet macht ?

Aber wieso sehe ich dann in meiner Log-File den Client der über HTTP oder HTTPS eine Verbindung zum Internet hat. Und das jedes mal ohne Ausnahme ? Heisst sobad ein Client den Internetexplorer startet bekomme ich einen Eintrag in meine Log ?

[grizzly999 11]

Oder verstehe ich das jetzt falsch, könnte es auch sein, dass die Clients eine Abfrage an den DNS starten und dieser die Ip nich auflösen kann, und der DNS Server dann eine Verbindung ins Internet macht ?

So könnte es sein, auch wenn ich die Einrichtung der Namnesauflösung in Deinem Netz nicht kenne. Es könnte aber auch anders sein, wie gesagt, wie da was DNS-mäßig eingerichtet ist, weiß hier niemand.

 

Aber wieso sehe ich dann in meiner Log-File den Client der über HTTP oder HTTPS eine Verbindung zum Internet hat. Und das jedes mal ohne Ausnahme ? Heisst sobad ein Client den Internetexplorer startet bekomme ich einen Eintrag in meine Log ?

Na wie soll der Client sonst ins Internet, von einem Proxy, der eingerichtet ist und bei den Clients eingetragen ist, hast du nichts berichtet.

 

Nichts für ungut, eine Firewall zu haben ist gut und schön und wichtig, auf den Monitor der Firewall zu schauen, ist auch ganz nett, aber das auszuwerten und zu beurteilen, was da läuft, da sollte man dann schon zumindest das Grundlagenwissen TCP/IP haben, besser noch etwas mehr.

Aber mich beschleicht das Gefühl, dass du auch von ersterem nicht so viel hast, daher empfehle ich vor der Auswertung von Firewall-Logs, sich diese Grundlagen erst anzueignen. Das ist auch in diesem Board schwierig mit ein paar Beiträgen dieses Grundlagenwisswen zu vermitteln.

 

;)

 

grizzly999

[TIR 10]

NA JA, so **** bin ich nu auch wieder nicht......

 

.. ich mache morgen den ganzen Tag mal einen Check mit Ethereal, und dann melde ich mich nochmals.

 

Äddy