Hallo,

neuer Versuch.

Nach dem Neuaufsetzen von XP(Firewall hat alles trotz Eintrag geblockt) und einspielen aller Updates und vorheriger Installation von KAV(der war als erstes, noch vor dem Netzwerk, dran), hab ich mal die Protokollierung der Firewall(zurückgewiesene Pakete) aktiviert, da ich einen Gau wie vorher vermeiden wollte und nachvollziehen wollte, ob eventuell ein installiertes Programm den Fehler verursacht hat.
Nun tauchen im Protokoll mit ca. 30 Sek. Abstand ständig neue Einträge über zurückgewiesene Pakete auf. Nach noch nicht mal 12 Stunden weist das Protokoll eine Größe von sage und schreibe 616 Kb auf.

Ein Auszug aus der pfirewall.log:

Zitat:

2007-11-26 12:14:27 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE

Ich kann die Einträge offensichtlich nicht richtig interpretieren, aber vielleicht hat ja jemand von euch Ahnung, worum es sich dabei handelt.
Der Rechner steht im LAN und verbindet sich über einen ISDN-Router mit dem Internet, die IP-Vergabe erfolgt via DHCP.

mfg
Kurt

PS.: 192.168.0.70 ist die Adresse des Druckerservers, 239.255.255.250 ist für mich nicht eruierbar, die Adresse geht offensichtlich ins Leere.

Ich kann mich irren, aber es sieht so aus, als sende der Druckserver an die Multicast-Adresse 239.255.255.250
Da die IP nicht geroutet werden kann (IANA reserved adress space), ist keine Panik angesagt. Ob Router oder Printserver dafür verantwortlich sind, kann ich nicht sagen.

Gruß

Marc

Wow!!

Jetzt bin ich hin und wech, so rasch habe ich nicht mit Antwort gerechnet!
Also, im Prinzip ein "ET" Phänomen?
Ähm, was ist eine Multicast Adresse??
Ach ja, der Druckerserver ist direkt am Router(eingebauter Switch) angeschlossen, sollte also mit dem Rechner gar nicht direkt kommunizieren, wenn er nach Hause telefonieren will, oder?.

mfg
Kurt

Zitat:

Zitat von Kurt Dunzinger

Ähm, was ist eine Multicast Adresse??

Eine Multicast-Adresse ist eine Art Sammeladresse, vergleichbar mit einer Emailverteileradresse.

Zitat:

Ach ja, der Druckerserver ist direkt am Router(eingebauter Switch) angeschlossen, sollte also mit dem Rechner gar nicht direkt kommunizieren, wenn er nach Hause telefonieren will, oder?.

Oder halt doch nicht. Theoretisch (praktisch auch) weiß der Printserver nicht, dass er und der Router Nachbarn sind.

Aha, also versuch ich einfach mal folgendes:
Printserver vom Netz trennen und beobachten.
Kurzfristig ist das machbar.
D.h. also, daß der PS ungezielt seine Pakete absendet und erst derjenige, der sich davon angesprochen fühlt, reagiert.

mfg
Kurt

Nachtrag:
Ja, die Einträge stammen vom Printserver.
Kann das ein Problem sein, daß der von Haus aus nach Hause telefonieren will, oder besteht die Gefahr, daß sich da was eingenistet hat?

Zitat:

Zitat von Kurt Dunzinger

Aha, also versuch ich einfach mal folgendes:
Printserver vom Netz trennen und beobachten.
Kurzfristig ist das machbar.

Du kannst den gesamten Kommunikationswust getrost vergessen. Diese Multicastpakete, können nicht aus dem Internet in dein netz und umgekehrt kann auch nichts derartiges aus Deinem Netz ins internet.

Zitat:

D.h. also, daß der PS ungezielt seine Pakete absendet und erst derjenige, der sich davon angesprochen fühlt, reagiert.

Ungezielt nicht unbedingt. Richtig aus der Hüfte geschossen wären Pakete an 192.168.0.255.
x.y.z.255 ist die Broadcastadresse eines Netzes und betrifft wirklich alle Hosts in diesem Netz. Multicast bezieht sich auf eine Gruppe von Hosts die in einer Gruppe zusammengefasst sind.
Unicast würde nur einen bestimmten Host betreffen.

Unter Umständen gibt es auf dem router eine Möglichkeit zu sehen, welche Hosts zu der Multicastgruppe gehören. Der Rechner von dem das Log stammt, gehört auf jeden Fall dazu, sonst hätte er die Pakete nicht bekommen. Im endeffekt ist das aber nur Rauschen. Wenn die die Einträge im Log stören, kannst Du das Log auch mit

Code: Alles auswählenAufklappen

ATTFilter

findstr /V "239.255.255.250" C:\Pfad\NamedesLogs > C:\Pfad\NamedesgefiltertenLogs
         

filtern. Die Multicasteinträge tauchen im gefilterten Log dann nicht mehr auf.

gruß

Marc

Edit:

Zitat:

Kann das ein Problem sein, daß der von Haus aus nach Hause telefonieren will, oder besteht die Gefahr, daß sich da was eingenistet hat?

Das ist ganz reguläres Geschnacke im Netzwerk. Der Printserver will auch nicht nach hause telefonieren (das würde mit der IP auch nicht die Bohne funktionieren), sondern er will mit den Multicastgruppenmitgliedern sprechen.

Edit2:
Damit wird es vllt verständlicher:
Microsoft Corporation