Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3657 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is it a hacker, is it a bug, or is it me??

swift
Hi there!

It began yesterday. My W2K-Server (with Zonealarm) reports:
Zonealarm has blocked internet access to your computer. 

But this cannot be! In all the years I never got this message because my ASL doesn't forward unrequested packets from outside to inside.

In the ZA log I can find:
2006/06/28 11:22:38 UDP 192.168.2.100:53->192.168.2.20:1048
2006/06/28 11:22:48 UDP 192.168.2.100:53->192.168.2.20:1049
2006/06/28 11:23:14 UDP 192.168.2.100:53->192.168.2.20:1050
2006/06/28 11:23:24 UDP 192.168.2.100:53->192.168.2.20:1051
2006/06/28 11:23:34 UDP 192.168.2.100:53->192.168.2.20:1052
2006/06/28 11:23:44 UDP 192.168.2.100:53->192.168.2.20:1053
2006/06/28 11:23:14 UDP 192.168.2.100:53->192.168.2.20:1054
2006/06/28 11:23:24 UDP 192.168.2.100:53->192.168.2.20:1055

This is very strange, because
192.168.2.100 is the internal address of my ASL.
192.168.2.20 is the internal address of my W2K-Server.
The odd thing is, that the target port is counting up and that my firewall obviously tries to access one of my computers via DNS..!? What's going in here?

Luckily, I was on my server when this happened and I immediately logged in my ASL. In the moment when I disabled the DNS-Proxy in the ASL, the warnings from Zonealarm stopped.

Because I had still installed ASL4, I thought that this was maybe caused by a security leak. So I wiped the whole FW harddisk and installed a fresh ASL6.

Everything was fine, until now: 
2006/06/29 01:26:28 UDP 192.168.2.100:53->192.168.2.20:3943
2006/06/29 01:26:38 UDP 192.168.2.100:53->192.168.2.20:3945
2006/06/29 03:27:06 UDP 192.168.2.100:53->192.168.2.20:3954
2006/06/29 03:27:16 UDP 192.168.2.100:53->192.168.2.20:3956
2006/06/29 05:27:36 UDP 192.168.2.100:53->192.168.2.20:3964
2006/06/29 05:27:46 UDP 192.168.2.100:53->192.168.2.20:3965
2006/06/29 07:28:14 UDP 192.168.2.100:53->192.168.2.20:3974
2006/06/29 07:28:24 UDP 192.168.2.100:53->192.168.2.20:3975
[...]

Here I can see 2 things: There is a thing that happens every 10 seconds, but always around the 23 minute of an hour (counting up, 23, 24, 25,... as you can see).

What can this be?
I'm totally clueless.

Thanks in advance.

 ... Tobias


This thread was automatically locked due to age.
  • 0
    looks like ur server is one of the destinations in the dns proxy...
    y/n ?
  • 0 in reply to AMros
    No, my server only has an internal IP (192.168.) and in the DNS proxy there are only external IPs.
    To be exact: I have 3 external IPs in my DNS proxy. I phoned my ISP to check the IPs: All 3 IPs are correct!

    So it should be impossible that the DNS proxy of ASL can send me packets to my internal server. Or do I missing something?

    Still getting the packets ... 11:29:28, 11:29:38, 13:30:06, 13:30:16,...
  • 0 in reply to swift
    I'm with Amros.. that looks like the DNS proxy is set to use your server as a forwarder (we do it all the time.. but no Zonealarm).  If not, you may have a DNAT rule or something gone awry.. for "fun".. turn off the DNS proxy for a few minutes, and see if the events continue.  If not, check your DNS proxy config (something may be messed up, call Astaro if necessary).   A thought: perhaps, if you are using AD / NTLM Authentication, it may perform DNS lookups itself...
  • 0 in reply to BrucekConvergent
    The strange things are:
    1) It happened on ASL 4 and now also on the fresh ASL6 install
    2) My new install has no DNAT rule, only the normal MASQ
    3) All DNS-forwarding-servers are set correctly
    4) When I turn off the proxy, it seems to stop
    5) No NTLM and such stuff. My new install only has HTTP proxy, DNS proxy, 4 or 5 IP filter rules and one MASQ-rule. Nothing more.
    6) It worked for some years, until yesterday. I haven't changed a thing on ASL and/or my W2K-server for months.
    7) The time when it happens

    Very strange.

    I have a home licence, can I call Astaro with this?

    THanks again.

     .. Tobias
  • 0 in reply to swift
    I don't believe you get support with the home license.  It definitely sounds like there is something in the DNS proxy config that is doing this.  Try adding your internal server to the DNS forwarder list, stop / start the DNS proxy, then remove it.. if that doesn't work, it may take a SSH session to get this squared away, could be an "orphaned" setting in the DNS Proxy config file.--take a peek in there.

    Another way would be to maybe create a drop without logging packet filter that drops the offending traffic.

    Lastly, reloading and reconfiguring would probably fix it, if it is a phantom setting.
  • 0 in reply to BrucekConvergent
    Hi there!

    The problem is still there.
    I have a changed the ISP and therefore I had to change all DNS-proxy settings: I removed ALL DNS-servers and entered the new ones.
    But my internal computer still gets packets from the ASL DNS proxy.

    I don't think that this is a phantom setting because I never added my internal computer to the DNS proxy list. And now I deleted all remaining DNS proxies!

    I can say that this behaviour comes 100% from the DNS proxy: When I stop the DNS-proxy, my internal computer instantly don't get anymore DNS packets. When I restart the DNS proxy, after a while (some hours), the packets will show up again.

    I tried to explicitly block the DNS packets from my ASL in the packets filter, but this didn't helped.

    This problem is driving me mad ... is there something I can check or try?

    Thanks in advance.

    TW
  • 0 in reply to swift
    How do you assign your IP addresses DHCP/Static? Does the information come from the ASL and if so do you have the DNS in the DHCP server info so you are possibly getting a round robin affect. Doubtful.

    I don't think the firewall is trying to access your server by DNS, I think itis responding to DNS queries. Perhaps you have a filter for DNS and the Astaro DNS proxy active. Zone alarm is seeing the continual retries as attacks. On a similar tack as the first part of this message (which I now think is wrong) you should only have the Astaro as the DNS in the DHCP DNS entries and the ISP DNS in the proxy.

    As you might guess grasping at straws.

    Ian M
  • 0 in reply to RFCat_vk_01
    Thanks for your reply.
    I'm using no DHCP, all my internal IPs are static.
  • 0 in reply to swift
    Looking at the packets you listed again.. those look like the ASG responding to DNS queries from your server... for fun, point your server's DNS elsewhere.. check under the advanced TCP/IP settings to make sure it's not hiding in there.. .. however, I imagine you want it use DNS, so I would just adjust zonealarm accordingly.
  • 0 in reply to BrucekConvergent
    .. those look like the ASG responding to DNS queries from your server

    Thanks, this hint helped.
    I thought, if these requests are normal DNS-traffic and DNS-responses, maybe Zonealarm is overreacting somehow.
    I deinstalled ZA and installed the latest version. The problem seems to be gone now.

    It is strange that the problem appeared suddenly (without changing settings for months) - but anyway, it works now and this is all I wanted :-)

    Thanks ... TW