IP loggen bei Internetverbindungsaufbau?

[XCoder]

Hallo ich habe hier eine FritzBox 7050 mit einem Internet-Zeittarif. Ich kann/möchte keinen anderen Tarif nutzen deswegen stehe ich vor folgendem Problem:

An der Fritzbox sind über die LAN-Schnittstellen Switches mit vielen PCs angeschlossen. Diese haben auf die Internetverbindung zugriff. Teilweise läuft auf den PCs Windows und Unix/SCO.

Aus irgendeinem Grund verbindet sich Fritzbox automatisch alle 2-15 min mit dem Internet ohne das eine Anfrage durch einen Benutzer gestartet wird. Dies muss ich irgendwie unterbinden da der Frei-Tarif ansonsten sehr schnell aufgebraucht ist und es teuer wird. Ich vermute das irgendwo ein Programm automatisch eine Update-Anfrage startet und deswegen die FB einen Aufbau startet. Solange ich aber nicht herausfinden kann von welchem PC diese Anfrage kommt kann ich nichts machen, da der Aufwand zu groß wäre.

Ist es möglich der Fritzbox beizubringen das diese die IP des PCs loggt welcher einen Internetaufbau verursacht?

Firewalls sind schon eingerichtet, aber vermutlich nicht richtig konfiguriert.
VOIP wird nicht genutzt.
Auch einen Sniffer kann ich aufgrund der Switches nicht nutzen.
Eine Fehl-Einstellung der FBox kann ich ausschließen.

 

[SebiXVI]

Der dsld schreibt die Anfrage, aufgrund der er ins Internet verbindet, ins Logfile. Starte also einfach den syslogd auf der Fritz!Box und laß die Ausgaben in eine Datei unter /var/tmp/... schreiben.

Sebi

 

[XCoder]

Die Idee war ganz gut mit syslogd. Er zeigt mir sehr viel an (zB. dass eine Internetverbinung aufgebaut wird, DynDNS geupdatet, VOIP angemeldet...), nicht aber die IP/Mac des PCs der den Aufbau verursacht hat.

Schade, was könnte ich noch versuchen?

 

[MdeWendt]

nen hub hinter die box klemmen oder aber den eingebauten sniffer der box benutzen. das file konverieren und per ethereal nachgucken wer der übeltäter ist.
ansonsten steht das auf alles fälle im syslog.

MdW

 

[SebiXVI]

Die Idee war ganz gut mit syslogd. Er zeigt mir sehr viel an (zB. dass eine Internetverbinung aufgebaut wird, DynDNS geupdatet, VOIP angemeldet...), nicht aber die IP/Mac des PCs der den Aufbau verursacht hat.

Schade, was könnte ich noch versuchen?

Du mußt das Logfile auch richtig lesen ;o) Habe hier auch die 7050, und deren dsld logged wie folgt:

Aug 21 16:55:59 (none) user.info dsld[1550]: internet: connecting because of packet: TCP 192.168.0.20:44906 -> 217.172.178.15:80 SYN

Eindeutiger geht´s eigentlich nicht - na gut, die MAC könnte noch drinstehen :roll:

Sebi

 

[XCoder]

Du hast völlig recht, jetzt sehe ich es auch. Ich glaub ich brauch ne Brille.
Naja war ja schon spät, (bzw früh ;-))

Vielen Dank

 

[XCoder]

Übeltäter vielleicht (in etwa) gefunden

So nun hab ich den Übeltäter gefunden, weiß allerdings nicht wieso das so ist oder wie ich es ändern kann:

Im Log taucht in regelmäßigen abständen das auf:
...Connecting because of...192.168.179.1:1025 > 192.168.180.1:53

Die IP meiner Box habe ich irgendwann mal auf 192.70.56.2 geändert.

Was ist das für eine IP? 192.168.180.1 Die habe ich nirgends eingestellt. Auch meine PC haben diese IP nicht. Jedenfalls wählt sich die FritzBox ein weil sie diese IP nicht im LAN finden kann. Ich habe versucht diese über telnet anzupingen, erfolglos.

Kann ich das abstellen oder ändern?

In der der ar7.cfg habe ich gesehen das die IP ...178.1 wohl dem USB-Interface zugewiesen ist, daran hängt ein PC der aber laut Firewall alles blockt.
Außerdem habe ich gesehen das in der ar7.cfg folgendes steht, weiß aber nicht wie es dahin kommt oder in was ich das ändern soll:
...
servercfg {
dns1=192.168.180.1;
dns2=192.168.180.2;
}
...

hängt es irgendwie damit zusammen?
Was bewirkt dns1 und dns2?
In was muss ich diese IP verändern damit sich das Problem löst?

Edit: Ich habe eben in meiner 2. FritzBox geschaut, dort taucht auch der Abschnitt mit "servercfg" auf, auch da die selbe IP. Für was ist die blos?

 

[olistudent]

Hi.
179.1 ist entweder dein USB-Interface oder dein DSL-Interface.
Die 180.1 ist der interne DNS-Server der FritzBox und Port 53 ist der Port für DNS-Anfragen.
Aber wer da jetzt, warum eine Adresse auflösen will, musst du schon selbst herausfinden...

MfG Oliver