watchdogg
Goto Top

DCs sehr viele UDP-Verbindungen zur Firewall

Hallo,


unsere Firma hat momentan, regional bedingt, eine Internet-Standleitung mit geringer Bandbreite.
Im November können wir endlich auf 50 MBit wechseln, da die Telekom in unserer Region ziemlich gut am rackern ist.

Alle Verbindungen zum Internet gehen über eine FortiGate Firewall!

Da die langsame Leitung, im Downstream, oft so gut wie ausgelastet ist habe ich mal auf der Firewall recherchiert, welche LAN-IPs die meisten Verbindungen zu ihr aufbauen.
Dabei ist mir aufgefallen, dass die beiden DCs immer mit Abstand die meisten Connections (UDP) haben.

Ob diese auch den Traffic verursachen kann ich nicht sagen, es sind nur auffällig viele Verbindungen vorhanden.

Wir verwenden 2012 R2 mit Remote-Desktop-Dienste als Terminalserver.
Die Terminalserver, der Exchange-Server und auch der WSUS und AntiVirenprogramm-Server haben vergleichsweise wenig Connections zur Firewall.
Ich dachte, gerade diese kommunizieren am meisten mit dem Internet.

Meine Frage ist nun, was genau machen die DCs, die intern auch DNS-Server sind, mit den vielen Verbindungen zum Internet?
Kann es sein, dass die Anfragen vom Exchange, vom WSUS und AntiVirenprogramm-Server oder von den TS über die DCs gehen und somit auf der Firewall als Verbindungen von den DCs angezeigt werden?


Gruß, watchdogg

Content-ID: 317564

Url: https://administrator.de/contentid/317564

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

119944
119944 12.10.2016 um 08:46:58 Uhr
Goto Top
Dabei ist mir aufgefallen, dass die beiden DCs immer mit Abstand die meisten Connections (UDP) haben.
Wohin und welche Portnummern?

Vermutlich sind es einfach nur ausgehende DNS Anfragen.

VG
Val
emeriks
emeriks 12.10.2016 um 08:50:26 Uhr
Goto Top
Hi,
falls auf den DNS-Servern Weiterleitungen ins Internet eingerichtet sind, dann könnten das daher kommen.
Welche Ports sind es denn?

E.
SlainteMhath
SlainteMhath 12.10.2016 um 08:53:13 Uhr
Goto Top
Moin,

ausschlaggebend ist nicht unbedingt die Anzahl der Connections pro Host, sondern eher die verwendete Bandbreite. Wenn's die Firewall keine Flows anzeigen kann, ist die beste Möglichkeit m.M.n. den Traffic per Wireshark zu analysieren indem man einfach am Switch den LAN-Port der FW auf einen Diagnose-Host spiegelt.

lg,
Slainte
watchdogg
watchdogg 12.10.2016 um 11:09:12 Uhr
Goto Top
Danke an alle,

alle Anfragen gehen an Port 53, und das ist der Port für DNS-Anfragen.

Gruß, watchdogg
emeriks
emeriks 12.10.2016 um 12:09:55 Uhr
Goto Top
Na dann ist die Sache geklärt. Kannst diesen Thread zumachen.