Gruesse!
* [EMAIL PROTECTED] <[EMAIL PROTECTED]> schrieb am [19.07.04 10:32]:
> Hallo,
>
> wie kann ich quasi automatisiert den Verursacher f�r Verbindungsanfragen ins
> Internet heraus bekommen? Hintergrund ist der, dass der Internetzugang �ber
> einen Woody-Server mit einem DSL-Zeittarif geschieht. Da dieser in einer
> Firma steht, m�chte ich gern, dass er Nachts und am Wochenende "Ruhe" gibt,
> damit ein kleinerer Tarif gew�hlt werden kann.
> Auf dem Server selber sind alle Skripte und Crondienste so angepasst (meine
> ich jedenfalls; /etc/crontab, /etc/cron.d, /etc/cron.*,
> /var/spool/cron/crontabs/*), dass hier nichts au�er der Reihe passieren
> sollte. Ein weiterer Woody-Server, der ebenfalls st�ndig an ist und den
> anderen Server als Gateway nutzt, ist ebenfalls so konfiguriert, dass er
> z.B. Virenupdate's nur zu bestimmten definierten Zeiten holt. Trotz dem wird
> alle 10 Minuten eine Verbindung aufgebaut (24h lang, jeden Tag).
> Wie kann ich �ber Logs herausbekommen, wer diese Verbindungen verursacht?
> Ich kann nicht mal sagen, von welchem Server diese initiiert werden. Kann
> man da etwas mit der Logfunktionalit�t von iptables was machen oder gibt es
> M�glichkeiten in den ip-up-Skripten? Mir w�rde die Rechner-IP, die die
> Verbindung haben will und evtl. die IP, von der etwas angefragt wird, schon
> f�r weitere Untersuchungen reichen.
Wie dir schon geschrieben wurde, lass iptables alle Pakete dieser
10-min Intervalle ins syslog schreiben. Dann kannst du anhand der
zeitlichen Abfolge den Verursacher anhand geloggtes Paket <-> pppd
Einwahl erkennen.
I.d.R. sind das DNS(=Nameserver)-Anfragen (=Port tcp/udp 53). Wenn
ihr in eurem Netz einen eigenen Nameserver verwendet, mu� der
wirklich alle Adressen die im lokalen LAN vorkommen aufl�sen k�nnen
und alle Clients d�rfen nur diesen DNS benutzen. Bei Anfragen nach
"drau�en" ist es dann halt eine Frage der Konfiguration, ob eine
nicht beantwortete Anfrage einen Dial-out ausl�st.
Wenn ihr keinen eigenen DNS verwendet, kannst du evtl. zu betsimmten
Zeiten DNS-Anfragen (=Port udp/tcp 53) �ber das externe Interface
per iptables-Regel sperren.
Allerdings w�rde ich ab einer gewissen Anzahl PCs auf jedenfall
einen eigenen DNS einrichten.
Mein Favorit in kleinen LANs, bei denen der DNS des Providers nach
der Einwahl mitbenutzt wird, ist dnsmasq. apt-cache show dnsmasq
gibt dir weitere Infos. Oder halt bind, ist IMHO aber meistens
Overkill.
> Danke, Ralf
Gru�
Gerhard
