ubuntuusers.de

Guten Abend ,

habe eine kurze Frage zu der aktuellen Ubuntu Version und der Internetverbindung.

Also ich habe alle bestehenden Verbindungen mal mit Wireshark & Netstat gecheckt die sich automatisch aufbauen wenn man Ubuntu startet .

Dazu ist mir die IP 162.213.33.48 aufgefallen . Laut IP Check eine Verbindung zum Host iana.org ( Canoncial ) .

Es ist die automatische Software Aktualisierung deaktiviert sowie automatische Zeiterfassung und die Datenschutzeinstellungen.

Es sind keine Programme oder Browser gestartet . Woran kann das liegen ?

Zur eigentlichen Frage , wenn ich den Port 53 in der Firewall schließe , habe ich keinen Internetzugriff mehr durch den Browser .

Eigentlich ist doch Port 443 SSH dafür zuständig. Einen Server betreibe ich nicht.

Mit anderen Betriebssystemen wie Windows oder MX Linux , besteht das Problem nicht.

Weiss jemand was darüber ? Im Router ist nichts an DNS einstellungen verstellt.

Mit Windows komme ich mit geschlossenen Port 53 ohne Probleme ins Internet.

Vielen lieben Dank

Diese IP ist Canonical zugeordnet.

NetRange:       162.213.32.0 - 162.213.35.255
CIDR:           162.213.32.0/22
NetName:        CANONICAL-USA
NetHandle:      NET-162-213-32-0-1
Parent:         NET162 (NET-162-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS41231
Organization:   Canonical USA Inc. (CU-17)
RegDate:        2013-05-31
Updated:        2021-12-14
Comment:        http://www.canonical.com/
Ref:            https://rdap.arin.net/registry/ip/162.213.32.0

TCP- UND UDP-Port 53 sind für DNS nötig. Wenn du an Firewalls rumfummelst, solltest du sowas wissen. Wenn du DNS nicht mehr zulässt, funktioniert natürlich die Namensauflösung nicht mehr.

Obacht: Manche Browser haben standardmäßig DNS over HTTP aktiv, das geht über TCP 443.

Mit Windows komme ich mit geschlossenen Port 53 ohne Probleme ins Internet.

Dann schaue mal, wie DNS da abläuft. Ggf. über DoH. Das betrifft dann aber nur den Browser und der Rest kann dann wieder nix mehr auflösen. Ergo: Solche Firewallregeln sind Bullshit.

Der Grund warum ich Port 53 zugemacht habe unter Ubuntu ist , das ich unter Wireshark ebenfalls Internetverkehr über Port 53 sehen konnte.

Und das alles OHNE den Webbrowser geöffnet zu haben .

Ich verwende Firefox. Eigene DNS Einstellungen sind da nicht angegeben . Hatte mal eine Zeitlang die DNS von Cloudflare genutzt 1.1.1.1

Da war aber trotzdem kein Traffic über Port 53 zu sehen .

Was heißt das jetzt direkt für mich mit den Port 53 schließen und kein Internet mehr ?

Komme mit den Browser dann nicht mehr ins Netz DNS Manuel ist nichts gesetzt . Verwundert mich schon etwas.

Habe gelesen das Ubuntu den Port 53 eigentlich benutzt wenn man einen eignen DNS Server betreibt ? Tue ich ja nicht .

Soviel dazu .

Was hat es mit der Canoncialverbindung auf sich ?

Ubuntu stellt selsbtständig eine Verbindung her ohne das Software geöffnet wurde .

Datschutzt , Zeitsynchronisierung , Aktualisierungen sind abgeschaltet .

Im Grunde genommen kann es egal sein , ich nutze den Browser nur für normale Seitenaufrufe und gelegntliche Email checks.

Genaues wissen schadte aber nie , man lernt nie aus.

Auf Github gab es einen Artikel , das Usern aufgefallen ist das ähnliche Phänome mit den Port 53 zu sehen sind und daher vermutet wurde ,

das Internettraffic vom Browser an einen Server umgeleitet wird (Remote ) .

JKing schrieb:

Was heißt das jetzt direkt für mich mit den Port 53 schließen und kein Internet mehr ?

Mit "kein Internet mehr" meinst Du keine funktionierende Namensauflösung (DNS) mehr, oder?
Teste mal mit geschlossenem dst-Port 53:

nc -zv 1.1.1.1 53
ping -c 3 1.1.1.1

als Verbindung ins Internet.

EDIT:

BTW: Im FF kannst Du "network.trr.mode" auf 3 setzen, damit kein anderer (fallback) DNS-Server vom FF (Browser) benutzt wird.

Mit geschlossen Port 53 kommt unter Netcat "nc -zv 1.1.1.1 53" nur noch eine Endlosschleife .

Anpingen funktioniert .

Ins Internet komme ich nicht mehr über den Browser ☺

Selbst mit einer manuel eingegeben IP von einer Website.

Port 53 dürfte für den normalen Internetverkehr auf Websites eigentlich garnicht zuständig sein . (Port 443)

JKing schrieb:

Anpingen funktioniert .

Genau, und das ist der Beweis, dass Internetzugang/verkehr mödlich ist. Auch tcp-Traffic, wenn Du einen anderen Port benutzt. Z. B.:

nc -zv 1.1.1.1 853

JKing schrieb:

Ins Internet komme ich nicht mehr über den Browser ☺

Selbst mit einer manuel eingegeben IP von einer Website.

Ja, weil Du für den Browser ein funktionierendes DNS und reverse-DNS brauchst.

JKing schrieb:

Port 53 dürfte für den Internetverkehr eigentlich garnicht zuständig sein .

Nur für DNS. Konfiguriere im Browser DoH (ohne fallback-Möglichkeit) und dann hast Du mit dem Browser, auch gei geschlossenem Port 53, "Internetzugang".

EDIT:

Jeder kann den Port 53 (UDP oder TCP) für ein VPN oder ein Tunnel oder gleichwertig, ins Internet benutzen.

Werde mir das im Browser gleich mal ansehen .

Dachte der gesamte Internetverkehr vom Browser aus wird über Port 443 geregelt ?

EDIT : NEIN auch wenn ich im Browser selbst verschiedene DNS versuche , gibt es keine Internetverbindung , wenn der Port 53 geschlossen ist.

JKing schrieb:

Dachte der gesamte Internetverkehr vom Browser aus wird über Port 443 geregelt ?

Naja, wenn der Browser nicht sein eigenes DNS macht. Versuch mal mit DoH (port 443): https://clean.dnsforge.de/dns-query

JKing schrieb:

EDIT : NEIN auch wenn ich im Browser selbst verschiedene DNS versuche , gibt es keine Internetverbindung , wenn der Port 53 geschlossen ist.

Im Falle von DoH, ja, denn der FF (browser) muss z. B. für "clean.dnsforge.de" auch DNS machen und das geht erstmal nur via Port 53.

EDIT:

BTW: Es geht auch ohne den dst-Port 53 (ins Internet), wenn Du systemd-resolved so konfigurierst, dass es DoT oder DoH (neueste Version von systemd?) benutzt.

Ok Danke erstmal soweit an @lubux für die Aufklärung mit den DNS .

Jetzt mal an alle die sich mit Ubuntu auskennen .

WARUM baut Ubuntu "selbstständig" Verbindungen auf , die sich selbst über die Firewall nicht blockieren lassen , sondern die Firewallregeln einfach umgehen ?

Die beiden IPs die mit Wireshark gefunden worden sind : 162.213.33.48 , 185.125.188.55

Laut verschiedenen Ip Checks sind es Verbindungen bei den Host iana.org ISP Canoncial ?

( Gehen wir erstmal davon aus das die Header Namen stimmen , dazu passen und es tatsächlich von Canoncial/Ubuntu her kommt )

Dann stellt sich die Frage , warum sich diese Verbindungen selbstständig mit jeder Einwahl ins Internet aufbauen ?

Zeitsynchronisierung, Datenschutzeinstellungen, Softwareaktualisierungen (in der Systemüberwachung nicht aktiv) , sind deaktiviert .

Man sollte eigentlich selbst entscheiden können , welche Verbindungen auf seinen eigenen Computer passieren dürfen oder nicht.

Nächster Hintergrund ist , wenn man mal unterwegs einen Surfstick nutzt , werden permanent Daten geladen und das Datenvolumen nur unnötig verbraucht !

Was wird da Remotetet ?

Nimt sich Canoncial das Recht raus , ohne Zustimmung auf fremde Rechner zugriff zu nehmen oder wie soll soll sich sowas erklären ?

Dürfte eigentlich eine ernstgemeinte Frage sein die alle Betrifft die Ubuntu nutzen .

Antworten wie dann nim ein anderes Betriebssystem oder der gleichen zählen nicht !

JKing schrieb:

Dann stellt sich die Frage , warum sich diese Verbindungen selbstständig mit jeder Einwahl ins Internet aufbauen ?

Was genau meinst Du mit "jeder Einwahl ins Internet"?
Ist es lediglich (die Verbindung ins Internet) bei jedem boot-Vorgang des Systems, ... oder welche Software macht diese "Einwahl ins Internet" und wann bzw. wie oft?

@lububx

ich meine damit sobald der Computer mit den Internet verbunden wird (Routerverbindung) .

Ohne irgendeine Software oder Browser gestartet zu haben .

Ich dachte zuerst es liegt an der Paket-Softwareaktualisierung oder der automatischen Zeitsynchronisierung. Kann aber nicht sein.

Ist auch laut Systemüberwachung nicht aktiv und manuell ebenfalls deaktiviert worden !

Nur der Wireshark mitschnitt läuft als aktive Software . (Kann man direkt ausschließen)

Die IP sperren in der Firewall werden ebenfalls vom System umgangen ☺

JKing schrieb:

Nur der Wireshark mitschnitt läuft als aktive Software . (Kann man direkt ausschließen)

Kommen von diesen IP-Adressen (162.213.33.48 , 185.125.188.55) auch Daten (zurück, außer syn+ack & Co.) auf deinen Rechner?

JKing schrieb:

Die IP sperren in der Firewall werden ebenfalls vom System umgangen ☺

Versuch mal persistent und nur zum testen (mit netfilter-persistent):

sudo iptables -I OUTPUT 1 -o eth0 -d 162.213.0.0/16 -j REJECT
sudo iptables -I OUTPUT 2 -o eth0 -d 185.125.0.0/16 -j REJECT

(eth0 evtl. anpassen).

Die beiden Befehle zeigen "mit angepasster Schnittstelle für das Wlan" , gar keine Wirkung .

JKing schrieb:

Die beiden Befehle zeigen "mit angepasster Schnittstelle für das Wlan" , gar keine Wirkung .

Dann hast Du diese iptables-Regeln evtl. zu spät gesetzt bzw. sie sind zu spät wirksam geworden. Sie sollten vor dem herstellen der Internetverbindung, wirksam sein.
Poste mal jetzt (als Text in code-block) die Ausgabe von:

sudo iptables -nvx -L OUTPUT | head -n 5

BTW: tcpdump lst leichtgewichtiger als wireshark und Du musst keine Bilder anhängen:

sudo tcpdump -c 100 -vvveni wlan0 src net 162.213.0.0/16 or src net 185.125.0.0/16

(Filter und wlan0 evtl. anpassen).