Hallo,
ich möchte gerne die ausgehenden Verbindungen der PCs in unserem Netzwerk kontrollieren, da ich den Verdacht habe das es hier ein Zombie-PC gibt der Spam versendet. Das finde ich vermutlich über das Syslog Protokoll raus. Also habe ich die LAN-Tools installiert und darüber die Client-PCs wie in der KnowledgeBase (http://www2.lancom.de/kb.nsf/a5ddf48173 ... 760038434a) beschrieben eingerichtet. Die Facilities habe ich erst mal so belassen.
Leider kommt bei dem Rechner nichts an. Habe es mit einem 2ten Rechner und Kiwi probiert. Mit dem gleichen Ergebniss. Firewalleinstellungen sind soweit OK.
Ein Screenshot der Weboberfläche ist dem Post angehängt
Der Router (Business LAN R800+) wurde von der Telekom eingerichtet und ich habe mir heute das erste mal die Lan-Tools, bzw. die Web-Config angeschaut. Kann mir jemand sagen woran es mit dem Syslog hapern könnte? Es würde mir auch schon mal sehr weiterhelfen wenn ich wüsste wo sich die gewünschten Logdaten auf der Weboberfläche verbergen.
Danke und Gruß
Volker
Lan R800+ und Syslog
Moderator: Lancom-Systems Moderatoren
-
volker racho
- Beiträge: 3
- Registriert: 01 Sep 2009, 16:23
Lan R800+ und Syslog
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi volker racho
die "Absende-Adr." solltest du erstmal leer lassen. Das Feld ist nur für spezielle Szenarien nötig, in denen das LANCOM die zu verwendende adresse nicht selbst ermitteln kann.
Ansonsten:
- Hast du die Syslog-Protokollierung überhaupt aktiviert (unter Meldungen -> Syslog)
- hast du auf dem PC vielleicht eine Desktop-Firewall laufen? Wenn ja, dann muß Kiwi auch einen Port öffnen dürfen...
Da du alles aktiviert hast, sollte z.B. ein Ab- und Wiederaufbau der Internetverbindung dich mit unmengen Syslog-Meldungen fluten.
Für dein Anliegen, den Traffic selbs mitzuschneiden, muß du zusätzlich noch die Firewall zu Hilfe nehmen und bei allen "allow"-Regeln die Syslog-Protokollierung aktivieren. Wenn du überhaupt keine Regeln in der Firewall hast, dann mußt du eine anlegen, die mitschneidet:
Gruß
Backslash
die "Absende-Adr." solltest du erstmal leer lassen. Das Feld ist nur für spezielle Szenarien nötig, in denen das LANCOM die zu verwendende adresse nicht selbst ermitteln kann.
Ansonsten:
- Hast du die Syslog-Protokollierung überhaupt aktiviert (unter Meldungen -> Syslog)
- hast du auf dem PC vielleicht eine Desktop-Firewall laufen? Wenn ja, dann muß Kiwi auch einen Port öffnen dürfen...
Da du alles aktiviert hast, sollte z.B. ein Ab- und Wiederaufbau der Internetverbindung dich mit unmengen Syslog-Meldungen fluten.
Für dein Anliegen, den Traffic selbs mitzuschneiden, muß du zusätzlich noch die Firewall zu Hilfe nehmen und bei allen "allow"-Regeln die Syslog-Protokollierung aktivieren. Wenn du überhaupt keine Regeln in der Firewall hast, dann mußt du eine anlegen, die mitschneidet:
Code: Alles auswählen
Aktion: übertragen
[x] Syslog-Bachricht senden
Quelle: alle Stationen
Ziel: alle Stationen
Dienste: alle Dienste
Backslash
-
volker racho
- Beiträge: 3
- Registriert: 01 Sep 2009, 16:23
Hallo,
Ich weiß nicht woran es lag, aber gestern Nachmittag funktionierte es auf einmal. Trotzdem vielen Dank für Deine Hilfe. Da der Syslog aber leider nicht das ausgespuckt hat was ich haben wollte, habe ich mir mit Hub und Wireshark weitergeholfen.
Aber nun weiß ich ja das ich eine FW-Regel definieren muss, damit die gewünschten Syslog-Daten generiert werden
.
Mit der Firewall werde ich mich wohl auch noch beschäftigen müssen. Ich habe mir gedacht das ich FW-Regeln erstellen könnte, damit Mails nur über unseren Anbieter versendet werden können.
Dest-Port 25, 465, 581 sollen dabei nur auf eine IP zugelassen werden, ansonsten verboten. Damit sollte man doch auch verhindern können das ein Zombie-PC Spam verschicken kann. Oder hab ich da ein Gedankenfehler? Kennst Du vllt eine Anleitung zur FW-Wall konfiguration?
Gruß und Danke
Gruß Volker
Ich weiß nicht woran es lag, aber gestern Nachmittag funktionierte es auf einmal. Trotzdem vielen Dank für Deine Hilfe. Da der Syslog aber leider nicht das ausgespuckt hat was ich haben wollte, habe ich mir mit Hub und Wireshark weitergeholfen.
Aber nun weiß ich ja das ich eine FW-Regel definieren muss, damit die gewünschten Syslog-Daten generiert werden
.Mit der Firewall werde ich mich wohl auch noch beschäftigen müssen. Ich habe mir gedacht das ich FW-Regeln erstellen könnte, damit Mails nur über unseren Anbieter versendet werden können.
Dest-Port 25, 465, 581 sollen dabei nur auf eine IP zugelassen werden, ansonsten verboten. Damit sollte man doch auch verhindern können das ein Zombie-PC Spam verschicken kann. Oder hab ich da ein Gedankenfehler? Kennst Du vllt eine Anleitung zur FW-Wall konfiguration?
Gruß und Danke
Gruß Volker
-
volker racho
- Beiträge: 3
- Registriert: 01 Sep 2009, 16:23
So. Mit Hilfe des LANConfig habe ich die Regeln nun 2 Regleln erstellt, die soweit auch das machen was sie sollen (SMTP als Dest-Port läuft nur noch über unseren Mail-Anbieter).
2 Fragen habe ich dennoch:
1.) Was bedeutet die Checkbox "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
Wir haben hier 2 R800+, die über ein VPN miteinander verbunden sind. Bedeutet diese Einstellung das ich die Regel nur auf einem Router deklarieren muss und wenn das Häckchen gesetzt ist sie Einstellungen vom anderen Router übernommen werden?
2.) Habe bei der Deny Regel ein Häckchen bei E-Mail senden gesetzt. Leider werden anscheinend keine Mails gesendet (syslog o. SNMP funktioniert). SMTP-Einstellungen (und POP) habe ich über LANConfig eingetragen. Allerdings bin ich nicht sicher was ich bei "Absende-IP-Adresse" eintragen soll (DMZ und Intranet sehen zur Auswahl).
Gruß Volker
2 Fragen habe ich dennoch:
1.) Was bedeutet die Checkbox "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
Wir haben hier 2 R800+, die über ein VPN miteinander verbunden sind. Bedeutet diese Einstellung das ich die Regel nur auf einem Router deklarieren muss und wenn das Häckchen gesetzt ist sie Einstellungen vom anderen Router übernommen werden?
2.) Habe bei der Deny Regel ein Häckchen bei E-Mail senden gesetzt. Leider werden anscheinend keine Mails gesendet (syslog o. SNMP funktioniert). SMTP-Einstellungen (und POP) habe ich über LANConfig eingetragen. Allerdings bin ich nicht sicher was ich bei "Absende-IP-Adresse" eintragen soll (DMZ und Intranet sehen zur Auswahl).
Gruß Volker
Hi volker racho
TestMail <From> <To,...,To> [<RealName> [<Subject> [<Body>]]]
From = * : use configured E-Mail-Sender
aktiviere den Trace (trace # smpt) und sende mit dem Testmail-Kommando eine Mail (testmail * me@mydomain test test(:
Wenn das funktioniert, sollte auch eine Mail, die von einer Denay-All-Regel erzeugt wird, problemlos verschickt werden.
Gruß
Backslash
Das LANCOM erstellt die IPSec-Regeln normalerweise automatisch und zwar so, daß zwischen dem Intranet und dem in der VPN-Route angegebenen Netz Daten übertragen werden können. Es gibt aber auch Situationen, in denen die automatisch erzeugten Regeln nicht ausreichen, z.B. wenn zwischen zwei VPN-Tunneln geroutet werden soll. Für diese Fälle kannst du dann in der Firewall manuell IPSec-Regeln erzeugen.1.) Was bedeutet die Checkbox "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
nein. Beide Seiten müssen passend zueinander Konfiguriert werden.Wir haben hier 2 R800+, die über ein VPN miteinander verbunden sind. Bedeutet diese Einstellung das ich die Regel nur auf einem Router deklarieren muss und wenn das Häckchen gesetzt ist sie Einstellungen vom anderen Router übernommen werden?
Das kannst du über einen SMTP-Trace prüfen. Hierzu existiert im CLI das Kommando TestMail:2.) Habe bei der Deny Regel ein Häckchen bei E-Mail senden gesetzt. Leider werden anscheinend keine Mails gesendet (syslog o. SNMP funktioniert).
TestMail <From> <To,...,To> [<RealName> [<Subject> [<Body>]]]
From = * : use configured E-Mail-Sender
aktiviere den Trace (trace # smpt) und sende mit dem Testmail-Kommando eine Mail (testmail * me@mydomain test test(:
Code: Alles auswählen
> tr # smtp
SMTP-Client ON
root@mylancom:
> test * me@mydomain test test
root@mylancom:
>
[SMTP-Client] 2009/09/07 13:59:52,300
<Resolving mail.mydomain>
[SMTP-Client] 2009/09/07 13:59:52,440
<Opening TCP connection for SMTP to mail.mydomain (x.x.x.x:25 RtgTag 0)>
[SMTP-Client] 2009/09/07 13:59:58,720
S:220 mail.mydomain ESMTP Sendmail 8.6.12 (No UCE/UBE)<CRLF>
[SMTP-Client] 2009/09/07 13:59:58,720
C:EHLO mylancom.mydomain<CRLF>
[SMTP-Client] 2009/09/07 13:59:58,730
S:250-mail.mydomain<CRLF>
S:250-PIPELINING<CRLF>
S:250-SIZE 30000000<CRLF>
S:250-ETRN<CRLF>
S:250-ENHANCEDSTATUSCODES<CRLF>
S:250-8BITMIME<CRLF>
S:250 DSN<CRLF>
[SMTP-Client] 2009/09/07 14:00:02,000
C:MAIL FROM:<mylancom.mydomain><CRLF>
[SMTP-Client] 2009/09/07 14:00:03,630
S:250 2.1.0 Ok<CRLF>
[SMTP-Client] 2009/09/07 14:00:03,630
C:RCPT TO:<me@mydomain><CRLF>
[SMTP-Client] 2009/09/07 14:00:07,960
S:250 2.1.5 Ok<CRLF>
[SMTP-Client] 2009/09/07 14:00:07,960
C:DATA<CRLF>
[SMTP-Client] 2009/09/07 14:00:09,530
S:354 End data with <CR><LF>.<CR><LF><CRLF>
[SMTP-Client] 2009/09/07 14:00:09,530
C:From: "test.mylancom" <mylancom.mydomain><CRLF>
C:Date: 7 Sep 2009 13:55:02 +0200<CRLF>
C:Message-ID: <00.a0.57.0f.c9.f8.3461313609.0@lc5010><CRLF>
C:Subject: test<CRLF>
C:To: <me@mydomain><CRLF>
C:<CRLF>
C:<CRLF>
C:.<CRLF>
[SMTP-Client] 2009/09/07 14:00:11,790
S:250 2.0.0 Ok: queued as 37E6C49801F<CRLF>
[SMTP-Client] 2009/09/07 14:00:17,760
C:QUIT<CRLF>
[SMTP-Client] 2009/09/07 14:00:18,760
S:221 2.0.0 Bye<CRLF>
[SMTP-Client] 2009/09/07 14:00:18,760
<TCP connection to mail.mydomain was closed by peer>
root@mylancom:
>
Wenn das funktioniert, sollte auch eine Mail, die von einer Denay-All-Regel erzeugt wird, problemlos verschickt werden.
Laß es einfach leer, dann nimmt das LANCOM automatisch die richtige Adresse. Die Angabe der Absenderadresse ist nur dann sinnvoll, wenn die Automatik fehlschlägt, z.B. wenn du mehr als ein lokales Netz hast und der Mailserver hiter einem VPN-Tunnel steht, der nur mit einem der Netze kommunizieren darf.Allerdings bin ich nicht sicher was ich bei "Absende-IP-Adresse" eintragen soll (DMZ und Intranet sehen zur Auswahl).
Gruß
Backslash