Hi,

also, ich gehe über den Proxy (Squid) von meheren Clients ins Internet und habe Suse Linux 8.0.

Nun hab ich das Problem, sobald Linux angeschaltet wird, verbindet er sich mit dem Internet.
In der access.log von Squid steht folgendes:

1037261917.292 1 192.168.0.107 TCP_MISS/503 1051 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261917.299 1 192.168.0.107 TCP_MISS/503 1051 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261917.398 94 192.168.0.107 TCP_MISS/503 1051 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261917.443 1 192.168.0.107 TCP_MISS/503 1051 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261917.449 1 192.168.0.107 TCP_MISS/503 1051 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261917.460 0 192.168.0.107 TCP_MISS/503 980 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261948.475 111074 192.168.0.107 TCP_MISS/000 0 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037261948.475 81080 192.168.0.107 TCP_MISS/000 0 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037262357.787 147824 192.168.0.107 TCP_MISS/504 0 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037262357.787 117585 192.168.0.107 TCP_MISS/000 0 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -
1037262357.787 87825 192.168.0.107 TCP_MISS/000 0 GET http://www.instituto.com.br/attackDoS.php? - NONE/- -

Hab ich da wohl einen Virus, oder hat der Client Rechner 107 einen???
Ich habe diesen jetzt mal vom Netzwerk getrennt, dann gibt es bei laufenden Serverbetreib
keine weiteren Einwählversuche. Jetzt wärs ja klar, dass dieser an allem Schuld ist,
komisch ist nur, wenn ich Linux neu starte und dieser PC ist nicht mit dem Netzwerk
verbunden, verbindet sich Linux dennoch mit dem Internet am Anfang.
Die xconsole bringt dann diese Meldung:

Nov 14 09:27:21 linux kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ippp0 OUT= MAC= SRC=198.32.64.12 DST=145.254.231.209 LEN=124 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=53 DPT=1024 LEN=104
Nov 14 09:27:22 linux kernel: SuSE-FW-UNAUTHORIZED-TARGET IN=ippp0 OUT= MAC= SRC=198.32.64.12 DST=145.254.231.209 LEN=464 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=53 DPT=1024 LEN=444

Flo

1. Das muss kein Virus sein, kann auch SpyWare, Trojaner,, legale Software sein. Schau halt mal auf dem Pc nach, welche Software diese Adresse aufrufen will.
2. dein Computer versucht eine Namensauflösung (hast du einen DNS-Server laufen, oder warum frägt er einen root-server)? Überprüfe mal deine /etc/hosts ob alle LAN-Computer eingetragen sind (wenn du einen DNS-Server benutzt musst du in dessen config-file nachschauen).

HTH

Hi,

also noch einmal zum DNS. Ich benutzte einen lokalen DNS (Bind9), in
der hosts steht bei mir nur lokalhost 127.0.0.1.
Sollte ich dann doch lieber den DNS deinstallieren (habe ihn nur gebraucht
wegen Squid, aber da mir jemand schon aus dem Forum mitgeteilt hat,
dass ich diesen für Squid nicht unbedingt benötige, kann ich diesen ja
nun deinstallieren).
Wie hast du das denn dann mit der Datei hosts gemeint. Soll
ich alle ip´s der Clients eintragen, oder?
Könntes du mir vielleicht ein Beispiel, der Datei zeigen?

Flo

Da du den DNS nicht brauchst, deinstallier ihn.
Ja in der /etc/hosts trägst du alle IPs und Namen deiner Clients ein. Auf deinem Computer diese Datei normlerweise schon vorhanden. Beispielhaft:
127.0.0.1 localhost
192.168.0.1 serverpc.local
192.168.0.2 clientpc1.local
192.168.0.3 clientpc2.local


HTH

Ich muß aber dann trotzdem noch bei den Clients DNS aktiviert lassen,
oder reicht das, wenn ich den Gateway eintrage?

Flo

Da deine Clients nur den Squid verwenden, benötigen sie keinen DNS-Server. Wenn du beim Zugriff auf die PCs Namen verwenden willst, musst du bei jedem Client auch die hosts Datei bearbeiten.

Wenn die direkt in Internet gehst (z. B. über NAT), dann musst du bei den Clients den DNS deines Providers eintragen.

Gruß

Hi Flo,

Lade Dir doch mal das Programm Ad-Aware runter und checke Deine Windows Kiste nach Werbe Trojanern ab.

Christian.

Blöde Frage: Heisst der Virus vielleicht XP ? Das ist für seinen ET-Modus mit "nach Hause telefonieren" bekannt. Dagegen hilft z. B XP-Antispy.

Nein, Windows ME, hatte die Frage in einem andere Posting bereits gestellt. ;-)
Muss wohl ein Werbetrjoaner sein.

Kann aber auch ein IM Client sein, der sich automatisch anmelden will.


Christian.

Hi,

also mit den Trojaner hattet ihr recht, hab ihn schon gefunden und gelöscht.

Doch langsam verzweifle ich, wegen des automatischen Interneteinwahl
beim Starten der Clients (ohne die Verwendung von Squid, nur über Masquerading).
Ich hab jetzt alles gemacht was ihr mir gesagt habt.
Ich habe den Nameserver deinstalliert und in der hosts folgendes geschrieben

127.0.0.1 localhost
192.168.0.62 flori.local flori

192.168.0.1 .linux.local. linux

DNS ist bei dem Client aktiviert. Unter Host steht flori unter Domain steht local
und unter Suchreihenfolge für DNS Server steht 192.168.0.1.

Ach in der resolv.conf steht noch folgendes

domain local
nameserver 145.253.2.171
nameserver 145.253.2.203

Naja, nach der deinstallation von Bind9, hab ich mich ja schon sehr gefreut,
wie ich den Client (flori) noch einmal gestartet habe und keine Internetverbindung
aufgetreten ist. Auch das Internet ohne Squid ging.
Nun habe ich aber den Server neu gestartet und nun ging wieder einmal nichts.

Hab ich den irgend etwas noch falsch gemacht??
Ich weiß, ich geh euch bestimmt schon auf die Nerven, doch ich dreh auch langsam
durch.

Flo

hast du wegen einem virus, auf deinem windows-clienten, deinen dns deinstalliert???
das muss einer verstehen:eek: :eek: :eek:

siehe Antwort 3
von Jinto

@SportyFlo
192.168.0.1 linux.local. linux
In deiner Zeile ist ein Punkt zuviel.

Du schreibst auch etwas von Clients, du hast aber nur einen Client in die /etc /hosts eingetragen. Hast du Squid auch zum automatischen starten eingetragen (z. B. mittels Runlevel-Editor)?

@totcotac
Nein, der Grund warum er überhaupt einen DNS installiert hatte, war schon falsch. Die Deisntallation war schon inOrdnung

Also Clients habe ich mehrere, jedoch ist im Moment nur einer angeschlossen,
da ich erst einmal mein Problem mit einmal Client lösen möchte.

Squid ist im RunLevel eingetragen, doch mit Squid funktioniert ja alles.
Das Problem mit der automatischen Interneteinwahl passiert ja nur,
wenn ich nicht über den Squid ins Internet gehe.

>Squid ist im RunLevel eingetragen, doch mit Squid funktioniert ja alles.
>Das Problem mit der automatischen Interneteinwahl passiert ja nur,
>wenn ich nicht über den Squid ins Internet gehe.

Das ist ja auch völlig normal. Anscheinend hast Du bei den Clients den Server als Gateway angegeben, was ja auch richtig ist, vorausgesetzt, Du möchtest zum Beispiel mit einem Programm (z.B. Instant Messenger) arbeiten, das nur direkt ins netz kann.

Möchtest Du, dass alle Programme nur über den Proxy gehen dürfen, musst Du schon den Server als Gateway aus der Konfiguration löschen. Danach öffnet er nur Leitungen, bei denen der Proxy die Anfrage nicht selbst auflösen kann.

Gruß

Christian.

Also, dann ist das quasi normal, wenn ich nicht über Squid gehe und Linux als
Gateway benutze, dass dann automatisch beim Client Start, der Linux
Server ins Internet geht (nur für eine kurze Zeit / ca. 4 sec / dann wird wieder beendet).

Ich frage auch deshalb, da ich ja (wie du ja weißt Christian) das selbe Phänomen
bei fetchmail habe. Immer wenn ich vom Client aus fetchmail aufrufe, verbindet er
in´s Internet (ca. 4 sec). Dies tut er aber auch nur einmal. Beim nächsten
E-Mail hohlen (vom Linux Server) verbindet er nicht mehr.

Ich denke eben, dass die beiden Probleme, mit ein und dem selben Problem zu tun
haben.

Flo

Mal davon abgesehen, dass ich fetchmail bei Clients merkwürdig finde, dürfte sich dein Server _nicht_ mit dem Internet verbinden wenn du mittels fetchmail Mails vom Server holst.

Ich kanns irgendwie nicht glauben, ist der Client mit dem du deine Mail vom Server holen willst in der /etc/hosts eingetragen?

Ja ist in der hosts eingetragen.
Ich habe jetzt sogar schon Linux das zweite Mal installiert, da ich dachte, ich
hätte irgend etwas grundsätzlich falsch konfiguriert.
Doch selbst jetzt, habe ich immer das selbe Problem, ständig diese dummen
automatischen Internet Einwahl Versuche.
An meinem Provider kann´s ja wohl auch nicht liegen, oder? (Arcor)

Ich wollte ja eigentlich, da ich dieses dumme Problem eben habe, alle
Clients über Squid laufen lassen, und die E-Mails eben mit fetchmail
herunterladen und dann verteilen. Bei diesem Verfahren musste ich ja
kein DNS beim Client aktivieren, deshalb auch keine automatischer Verbindungs-
aufbau, beim Starten der Clients. Doch dummerweise habe ich das
selbe problem auch, wenn ich die E-mail von Outlook vom Linux S. lade.
pop und smtp = ip vom Linux Rechner; ich hoffe, das passt.

Langsam verzweifle ich.

Flo

Also am Provider liegts sicher nicht. Hast du das ip-forwarding mittelrweile abgeschaltet?

Zudem kannst du kurzfristig mal alle ein und ausgehenden Pakete loggen (oder mit tcpdump überwachen).

Also das Ip-Forwarding in der Sysconfig hab ich noch auf yes, schalte ich
das aus, würde doch das Internet ohne Squid, also nur über den Gateway,
nicht mehr funktionieren.

Flo

Wenn du Squid verwendest, dann findet kein Routing statt. Squid bekommt Pakete z. B. von deinen lokalen PCs und erzeugt daraus neue Pakete. Das gleiche gilt für die Gegenrichtung.

Gruß

Also, Ip-forwarding unter sysconfig ist auf no, leider habe ich immer noch
das Problem und im Internet auch ich auch noch ohne Squid surfen.

Ich sollte vielleicht noch Routing in der Firewall deaktivieren, ich habe nur
gedacht, das mit dem ip-forwarding würde langen.

Naja, damit wäre dann warscheinlich mein Problem teilweise gelöst,
denn wenn Routing und Forwarding aus ist und der Linux S. sich
hoffentlich nicht mehr ins Internet einwählt auch nicht, wenn ein
Client seine EMails abholt(vom LinuxS.), dann kann ich leider
Programme, wie z.B. ein Buchungsprogramm, bei dem ich keinen
Proxy einstellen kann, leider nicht mehr benutzen (wird jedoch benötigt).

Flo