4
Zywall meldet 192.168.2.13 exceeds the max. number of session per host! - Windows Server 2008R2 und Exchange 2013 spammen???
Hello!
ich habe einen Windows Server 2008R2 und darauf Exchange 2013. Installation erfolgte Jänner 2014. Es werden nur wenige Postfächer betrieben.
Seit Dezember haben wir festgestellt, dass in unserem Netzwerk das Internet sehr langsam wird. Als Firewall dient eine Zywall 5.
Auf dem Log der Firewall wird permanent ein "192.168.2.13 exceeds the max. number of session per host!" gemeldet. Das ist unser Server.
Mittels Wireshark haben wir festgestellt, dass permanent sehr kleine DNS Pakete vom Server weg gesendet werden.
Erster Verdacht war, dass wir es mit einem Virus/Trojaner zu tun hätten. Keiner der bekannten Scanner hat einen Befall festgestellt.
Da ich sowieso virtualisieren möchte, habe ich auf einem zweiten Rechner VMWARE ESXI installiert und darauf die gleiche Installation (W2k8R2 und EX2013). Gleiches Prozedere bei der Installation. Zum Testen habe ich die IP Weiterleitung vom ersten auf den neuen Server umgestellt.
Und nun macht der neu installierte Server die gleichen Verbindungen auf. "hänge" ich wieder um auf den ersten Rechner, dann wieder dieser.
Nachdem "von innen" beide Rechner immer ins Internet kommen können, muss es mit der Zuweisung der Echten IP Adresse von außen zusammenhängen. Für mich heißt das, dass ich bei beiden Installationen irgendein Schlupfloch offen habe lassen, das von Außen über die echte IP ausgenützt wird.
Wireshark meint zwar, dass es DNS Pakete sind, aber ich habe den DNS Server abgedreht und es flutschen noch immer Pakete ins Web.
Wer hat eine Idee, was ich da falsch gemacht haben könnte.
Hab den DNS Server in Verdacht, aber die Pakete flitzen auch bei gestoppten DNS Server raus.
dank und schönes Wochenende
Christian
ich habe einen Windows Server 2008R2 und darauf Exchange 2013. Installation erfolgte Jänner 2014. Es werden nur wenige Postfächer betrieben.
Seit Dezember haben wir festgestellt, dass in unserem Netzwerk das Internet sehr langsam wird. Als Firewall dient eine Zywall 5.
Auf dem Log der Firewall wird permanent ein "192.168.2.13 exceeds the max. number of session per host!" gemeldet. Das ist unser Server.
Mittels Wireshark haben wir festgestellt, dass permanent sehr kleine DNS Pakete vom Server weg gesendet werden.
Erster Verdacht war, dass wir es mit einem Virus/Trojaner zu tun hätten. Keiner der bekannten Scanner hat einen Befall festgestellt.
Da ich sowieso virtualisieren möchte, habe ich auf einem zweiten Rechner VMWARE ESXI installiert und darauf die gleiche Installation (W2k8R2 und EX2013). Gleiches Prozedere bei der Installation. Zum Testen habe ich die IP Weiterleitung vom ersten auf den neuen Server umgestellt.
Und nun macht der neu installierte Server die gleichen Verbindungen auf. "hänge" ich wieder um auf den ersten Rechner, dann wieder dieser.
Nachdem "von innen" beide Rechner immer ins Internet kommen können, muss es mit der Zuweisung der Echten IP Adresse von außen zusammenhängen. Für mich heißt das, dass ich bei beiden Installationen irgendein Schlupfloch offen habe lassen, das von Außen über die echte IP ausgenützt wird.
Wireshark meint zwar, dass es DNS Pakete sind, aber ich habe den DNS Server abgedreht und es flutschen noch immer Pakete ins Web.
Wer hat eine Idee, was ich da falsch gemacht haben könnte.
Hab den DNS Server in Verdacht, aber die Pakete flitzen auch bei gestoppten DNS Server raus.
dank und schönes Wochenende
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266217
Url: https://administrator.de/contentid/266217
Printed on: April 19, 2024 at 01:04 o'clock
4 Comments
Latest comment
Hallo Christian,
genommen wird? Was ist das denn für ein Gerät!? Ein PC?
Und was sagt der Logfile aus, welches Programm sendet denn
nach draußen? Oder ist es ein USB Stick der verseucht ist?
An wen sendet die IP 192.168.2.13 denn die Pakete?
Ich meine an welche IP Adresse?
Gruß
Dobby
Auf dem Log der Firewall wird permanent ein "192.168.2.13 exceeds the
max. number of session per host!" gemeldet.
Was passiert denn wenn das "Gerät" mit der IP 192.168.2.13 aus dem Netzmax. number of session per host!" gemeldet.
genommen wird? Was ist das denn für ein Gerät!? Ein PC?
Und was sagt der Logfile aus, welches Programm sendet denn
nach draußen? Oder ist es ein USB Stick der verseucht ist?
Erster Verdacht war, dass wir es mit einem Virus/Trojaner zu tun hätten.
Keiner der bekannten Scanner hat einen Befall festgestellt.
Das macht nichts, denn die Scanner müssen den Virus ja nicht kennen.Keiner der bekannten Scanner hat einen Befall festgestellt.
An wen sendet die IP 192.168.2.13 denn die Pakete?
Ich meine an welche IP Adresse?
Gruß
Dobby
Guten Morgen!
Ich habe mir die wireshark Pakete ein wenig angesehen. So tief in die TCP/IP Thematik bin ich nicht vorgedrungen, aber Absender Empfänger habe ich angesehen, und das schaut interessant aus:
Wir haben im Büro ein Subnet mit 8 echten IP Adressen (91.x.x.184-191) die alle an der zywall 5 ankommen. Die "Rand-IP" fallen ja weg und von den verbleibenden 6 IPs wird die letzte (190) von der zywall verwendet. Der Exchange bekommt durch eine 1:1 Übersetzung an der zywall die 189er Adresse. Auf diese zeigt auch der MX Record unserer Domain.
Die zywall baut drei private Netzwerke auf: internes Netz mit 192.168.1.x, DMZ für Mail und Webserver (mailserver win2k8r2 mit Exchange 2013 und webserver Ubuntu 14.10) mit 192.168.2.x und Last but noz least ein WLAN Netz mit 192.168.3.1. An der zywall ist die Firewall aktiviert, die Traffic vom WAN zur DMZ ist beschränkt auf die Porta 443 und 25 zum Mailserver und Port 80 auf den Webserver.
So, nun zum eigenartigen log:
Der allergrößte Teil des Traffics bewegt sich so:
192.168.2.13 (Mailserver) --> 91.x.x.190 (externe Adresse der zywall) und wieder retour. Und das über Port 53. das wäre eigentlich DNS. Und dieser Traffic tritt auch Auf, wenn ich den DNS Server abdrehe. Und dadurch, dass dieser Traffic dauernd durch die Firewall geht, läuft dort der Open Connection Counter über.
Und dieses "Ringelspiel" passiert nur, wenn ich die IP-Weiterleitung der echten 91.x.x.189 auf den Exchange Server 192.168.2.13 aktiviere......
Ich bin ratlos, glaube aber schön langsam, dass es an der Firewall liegt.
Christian
Ich habe mir die wireshark Pakete ein wenig angesehen. So tief in die TCP/IP Thematik bin ich nicht vorgedrungen, aber Absender Empfänger habe ich angesehen, und das schaut interessant aus:
Wir haben im Büro ein Subnet mit 8 echten IP Adressen (91.x.x.184-191) die alle an der zywall 5 ankommen. Die "Rand-IP" fallen ja weg und von den verbleibenden 6 IPs wird die letzte (190) von der zywall verwendet. Der Exchange bekommt durch eine 1:1 Übersetzung an der zywall die 189er Adresse. Auf diese zeigt auch der MX Record unserer Domain.
Die zywall baut drei private Netzwerke auf: internes Netz mit 192.168.1.x, DMZ für Mail und Webserver (mailserver win2k8r2 mit Exchange 2013 und webserver Ubuntu 14.10) mit 192.168.2.x und Last but noz least ein WLAN Netz mit 192.168.3.1. An der zywall ist die Firewall aktiviert, die Traffic vom WAN zur DMZ ist beschränkt auf die Porta 443 und 25 zum Mailserver und Port 80 auf den Webserver.
So, nun zum eigenartigen log:
Der allergrößte Teil des Traffics bewegt sich so:
192.168.2.13 (Mailserver) --> 91.x.x.190 (externe Adresse der zywall) und wieder retour. Und das über Port 53. das wäre eigentlich DNS. Und dieser Traffic tritt auch Auf, wenn ich den DNS Server abdrehe. Und dadurch, dass dieser Traffic dauernd durch die Firewall geht, läuft dort der Open Connection Counter über.
Und dieses "Ringelspiel" passiert nur, wenn ich die IP-Weiterleitung der echten 91.x.x.189 auf den Exchange Server 192.168.2.13 aktiviere......
Ich bin ratlos, glaube aber schön langsam, dass es an der Firewall liegt.
Christian
Moin Christian,
ich hatte vor zwei Wochen hier genau so ein Problem mit meiner Zywall USG 50 und fand keine Erklärung.
Die Infrastruktur in meinem Netz ist i. O. und auch sonst gab es keine Auffälligkeiten. Da ich mich durch eine falsche Einstellung selbst vom Zugriff auf die FW
ausgesperrt habe, wurde diese durch ein Reset kurzerhand wieder in den Urzustand versetzt und anschließend mit den gleichen Einstellungen versehen.
Mit Ausnahme der von mir falsch gesetzten Regel, die mir den Zugriff verwehrte. Seitdem habe ich keine Fehler ala
"192.168.2.13 exceeds the max. number of session per host!" mehr gesehen. Du könntest mit der Vermutung dass es an der FW selbst liegt, durchaus auf der richtigen Spur sein.
Gruß,
Uwe
Nachtrag: Probier das hier mal aus: http://www.thinkbroadband.com/tools/dnscheck.html
ich hatte vor zwei Wochen hier genau so ein Problem mit meiner Zywall USG 50 und fand keine Erklärung.
Die Infrastruktur in meinem Netz ist i. O. und auch sonst gab es keine Auffälligkeiten. Da ich mich durch eine falsche Einstellung selbst vom Zugriff auf die FW
ausgesperrt habe, wurde diese durch ein Reset kurzerhand wieder in den Urzustand versetzt und anschließend mit den gleichen Einstellungen versehen.
Mit Ausnahme der von mir falsch gesetzten Regel, die mir den Zugriff verwehrte. Seitdem habe ich keine Fehler ala
"192.168.2.13 exceeds the max. number of session per host!" mehr gesehen. Du könntest mit der Vermutung dass es an der FW selbst liegt, durchaus auf der richtigen Spur sein.
Gruß,
Uwe
Nachtrag: Probier das hier mal aus: http://www.thinkbroadband.com/tools/dnscheck.html
sooo!
danke an uwe! Der Tipp mit der Zywall war goldrichtig!
Habe der Zywall 5 ein reset gegeben (10 Sek Reset drücken) und jetzt von null weg neu konfiguriert.
Siehe da: alles schööön
keine Fehlermeldung und wesentlich: wesentlich besserer Datendurchsatz. Ganz wie früher
merci
Christian
danke an uwe! Der Tipp mit der Zywall war goldrichtig!
Habe der Zywall 5 ein reset gegeben (10 Sek Reset drücken) und jetzt von null weg neu konfiguriert.
Siehe da: alles schööön
keine Fehlermeldung und wesentlich: wesentlich besserer Datendurchsatz. Ganz wie früher
merci
Christian
1
