Router-Logs
 

Hallo,

Bekomme in letzter Zeit von meinem Router immer LOGs zugeschickt, die Einträge wie die gleich folgenden enthalten:

Thu, 2009-03-05 15:31:50 - TCP Packet - Source:192.168.22.2,49355 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49341 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49370 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:54 - TCP Packet - Source:192.168.22.2,49388 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49339 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49396 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:02 - TCP Packet - Source:192.168.22.2,49402 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49399 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49420 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49373 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49429 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:10 - TCP Packet - Source:192.168.22.2,49414 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49376 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49450 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:20 - TCP Packet - Source:192.168.22.2,49447 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:21 - TCP Packet - Source:192.168.22.2,49453 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]

xXxXx wurde ersetzt.
Mir geht es nicht darum, das der Router mir die Meldungen schickt, das ist ok und ja so eingerichtet. Ich möchte gern wissen, was das bedeutet, ob es bedenklich ist und wie es zustande kommen kann. Scheint ja hauptsächlich mit dem 192.168.22.2-Rechner zusammen zu hängen.
Andere angeschlossene Rechner haben nur selten Reports, wenn, dann in der Art:

TCP Packet - Source:192.168.22.5,49504 Destination:mu-in-f113.google.com,80 - [BLOCK]

AntiVir und HiJack zeigen keine Auffälligkeiten.
Danke für Hilfe

Mazeck

Mazek

Dient dieser PC mit dieser IP 192.168.22.2 als Server für die anderen? Sprich gehen alle anderen PC´s die du angeschlossen hast über diesen PC ins Internet?

Mich interessiert welchen Router du benutzt und welches Betriebssystem du fährst.

Hallo Mazeck,

handelt es sich bei Destination um Deine Adresse (xXxXx.dip.t-dialin.net)? Wenn ja, ist klar, dass der Router damit nichts anfangen kann und das Paket verwirft.
Ist der Computer Teil eines Netzwerkes mit eigenem DNS-Server? Dann wäre der Fehler wohl in der Konfigurationsdatei zu suchen und vergleiche die Netzwerkeinstellungen des "meckernden" Computer mit einem anderen, vor allem den Eintrag Gateway und DNS-Server.

Gibt es dort Unterschiede?

Grüße
a5c3p1o5

Ohne zu wissen was auf den benannten Ports kommuniziert*, wird es schwierig eine Aussage zu treffen. Das Log ohne weitere Infos besagt nur, dass die TCP-Verbindung eines Rechners aus dem lokalen Netzwerk zu einem Rechner aus dem Pool der Deutschen Telekom auf Port 80 (häufig aber nicht zwingend der Port eines Webservers) geblockt wurde.

Marc

* netstat -abn kann auf Windows NT Systemen etwas nähere Informationen liefern. TCPView wäre auch eine Option.


Edit: Sind ja schon zwei andere Jungs am Werk. Dann halt ich mich raus.

Edit 2:
Das würde bedeuten, dass eine private IP geroutet wurde. Oder verstehe ich die Frage falsch?

Nein, alle Rechner hängen am Router

Netgear DG834GB
alle Rechner Vista32

in dem Fall ja, eben schau ich im Log, da steht aber beispielsweise zig mal
TCP Packet - Source:192.168.22.2,49496 Destination:susi.pt-server.de,80 - [BLOCK]
drin. Also die Ziele scheinen zu wechseln. Hatte auch schon
TCP Packet - Source:192.168.22.2,49434 Destination:www.bahn-spass.de,80 - [BLOCK]
oder
TCP Packet - Source:192.168.22.2,49386 Destination:srv02.sperrgebiet.org,80 - [BLOCK]

Nein, DNS von T-Online (nicht fest) im Router und bei den Rechnern als Gateway und DNS die IP des Routers. Rechner haben feste IP vergeben.

Gruß Mazeck

Hast Du schon auf dem Rechner den Befehl von %ComSpec% ausgeführt?

Start -> Auführen -> "cmd" eingeben (ohne "") -> "netstat -abn > c:\netstatlog.txt" eingeben
Anschließend kannst Du eine Textdtei unter c:\ finden und hier posten.

Grüße
a5clep1o5

Auf C:\ direkt gehts gar net, da wird der Zugriff verwehrt, die Datei zu erstellen nehm ich an.
Als Pfad dann einen unter 'Eigene Dateien' eingegeben, da erstellt er die Datei,
steht dann nur drin "Der Vorgang erfordert erhöhte Rechte".
Bin als Admin angemeldet.

Gruß Mazeck

ok, seltsam ...

Vielleicht hilft Dir dieser Artikel weiter.

Grüße
a5cl3p1o5

Keine Ahnung ob's bei Vista hilft:
Start > Eingabeaufforderung > als Administrator ausführen

Marc

Also nach langem probieren hab ich jetzt TCPView genommen und das zeigt mir das Ganze so an:

[System Process]:0 TCP 192.168.22.2:49250 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49253 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49256 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49259 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49262 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49265 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49268 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49271 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49277 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49280 74.125.39.164:80 TIME_WAIT

Das nächste mal ist es aber wieder eine ganz andere Zieladresse.

Hier nur noch ein Beispiel:

[System Process]:0 TCP 192.168.22.2:49505 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49508 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49514 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49520 bw-in-f127.google.com:http TIME_WAIT


Etwas später kommt dann (auszugsweise):

[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49428 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49425 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49422 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49417 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49416 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49413 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49408 TIME_WAIT



Was ist der [System process]:0 ? Wie kann ich den genauer bestimmen. Andere Vista-Rechner zeigen doch auch net das Problem?
hosts-Datei ist in Ordnung.

Hoffe auf Hilfe