ubuntuusers.de

privat@privat-pc:~$ sudo iptables -nvx -L OUTPUT | head -n 5
[sudo] Passwort für privat: 
Chain OUTPUT (policy ACCEPT 2 packets, 80 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       1       60 REJECT     all  --  *      wlp1s0  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
       0        0 REJECT     all  --  *      wlp1s0  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
       0        0 REJECT     all  --  *      wlp1sO  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
privat@privat-pc:~$ sudo tcpdump -c 100 -vvveni wlp1s0 src net 162.213.0.0/16 or src net 185.125.0.0/16
tcpdump: listening on wlp1s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

JKing schrieb:

privat@privat-pc:~$ sudo iptables -nvx -L OUTPUT | head -n 5
[sudo] Passwort für privat: 
Chain OUTPUT (policy ACCEPT 2 packets, 80 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       1       60 REJECT     all  --  *      wlp1s0  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
       0        0 REJECT     all  --  *      wlp1s0  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
       0        0 REJECT     all  --  *      wlp1sO  0.0.0.0/0            162.213.0.0/16       reject-with icmp-port-unreachable
privat@privat-pc:~$ sudo tcpdump -c 100 -vvveni wlp1s0 src net 162.213.0.0/16 or src net 185.125.0.0/16
tcpdump: listening on wlp1s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

Der counter der 1. Regel zeigt, dass diese Regel schon wirksam ist/war, aber wie schon vermutet, wird der Zeitpunkt zu dem sie wirksam geworden ist, nicht OK sein (was auch an der null-Ausgabe von tcpdump zu erkennen ist bzw. tcpdump war zum Zeitpunkt der Antwort noch nicht aktiv?).
BTW: Warum hast Du drei identische iptables-Regeln, mit dem dst-net 162.213.0.0/16?

Das die Regel umgangen wird ist schon aufgefallen.

Das sie öfters in Erscheinung tritt kann daran liegen , das die Regel zur IP Sperre mehrmal ausgeführt wurde.

Was sagt uns das ganze jetzt mit den IPs und Verbindungen ? 162.213.33.48 185.125.188.55

Da bauen sich Verbindungen auf die nicht gewollt sind und vom System aus stammen .

Fraglich bleibt was genau da Remotet wird und zu welchen Zweck .

Gibt es nun eine wirksame Möglichkeit diese Verbindungen mit den Ips von Canoncial zu unterbinden ?

Ist auch der grund für dieses Thema.

Gerne kann mal jemand an seinen eigenen System testen , ob solche Verbindungen zu den Canoncial Servern im Hintergrund laufen ohne das sie gewünscht sind

oder irgendeine Software das bisher erklären würde .

JKing schrieb:

Das die Regel umgangen wird ist schon aufgefallen.

Das sie öfters in Erscheinung tritt kann daran liegen , das die Regel zur IP Sperre mehrmal ausgeführt wurde.

Nein, das ist so nicht richtig.
Die Regel wird nur einmal gesetzt und nicht bei jedem wirksamwerden (lt. dir "zur IP Sperre").
Wie bzw. mit was setzt Du die iptables-Regeln und zu welchem Zeitpunkt?

netfilter-persistent  uses  a set of plugins to load, flush and save netfilter rules at boot and halt time

Description: boot-time loader for netfilter configuration

Quelle: manpage & Co.

JKing schrieb:

Dann stellt sich die Frage , warum sich diese Verbindungen selbstständig mit jeder Einwahl ins Internet aufbauen ?

Zeitsynchronisierung, Datenschutzeinstellungen, Softwareaktualisierungen (in der Systemüberwachung nicht aktiv) , sind deaktiviert .

Ich weiß nicht, ob das genau die infrage stehenden IPs betrifft, aber woher weiß zum Beispiel der Network-Manager, dass eine Internetverbindung tatsächlich besteht? Dass also das WLAN-Baken-Icon angezeigt werden kann? Die Frage ist technisch nicht einfach lösbar. Eine WLAN-Verbindung zu einem Access-Point reicht zum Beispiel nicht aus. Der Austausch eines Paketes mit einem entfernten Rechner, der zum Beispiel bei Canonical steht, wäre allerdings ein Indikator dafür und genau so verfährt Ubuntu meines Wissens auch. Wie gesagt, die IPs dafür müsste man nochmal prüfen. Wie man das abschalten könnte? Keine Ahnung.

Was soll eigentlich das ganze Rumgehampel hier? Wenn man UDP/TCP 53 ausgehend sperrt ist keine normale DNS-Namensauflösung mehr möglich.

Web ist nur ein Teil des Internet und andere Anwendungen stellen ebenfalls Verbindungen her. Das ist normal.

Bevor man was an Firewalls fummelt muss man diese Dinge verstehen, sonst geht das schief.

nftables ist ebenfalls eine eher schlecht geeignete Stelle, um Firewallregeln einzutragen, weil die erstmal nicht persistent sind.

Wesentlich besser ist da firewalld, wenn man das braucht.

Was sagt uns das ganze jetzt mit den IPs und Verbindungen ? 162.213.33.48 185.125.188.55

Dein System hat ne Verbindung zu Canonical über IPv4 aufgebaut. Um rauszuinden, was das genau ist, musst du eine Software suchen, mit der du aufzeichnen kannst, welcher Prozess eine Verbindung aufbaut. Solange die aufgebaut ist, sieht man die mit

sudo ss -tup

perlicon schrieb:

JKing schrieb:

Ich weiß nicht, ob das genau die infrage stehenden IPs betrifft, aber woher weiß zum Beispiel der Network-Manager, dass eine Internetverbindung tatsächlich besteht? Dass also das WLAN-Baken-Icon angezeigt werden kann? Die Frage ist technisch nicht einfach lösbar. Eine WLAN-Verbindung zu einem Access-Point reicht zum Beispiel nicht aus. Der Austausch eines Paketes mit einem entfernten Rechner, der zum Beispiel bei Canonical steht, wäre allerdings ein Indikator dafür und genau so verfährt Ubuntu meines Wissens auch. Wie gesagt, die IPs dafür müsste man nochmal prüfen. Wie man das abschalten könnte? Keine Ahnung.

https://ubuntu.com/core/docs/networkmanager/snap-configuration/connectivity-check

DJKUhpisse schrieb:

Wenn man UDP/TCP 53 ausgehend sperrt ist keine normale DNS-Namensauflösung mehr möglich.

BTW: Eine "normale" DNS-Namensauflösung ist nicht zwingend erforderlich.
Man kann DNS-Namensauflösung (ausgehend) auch über andere Ports machen lassen bzw. man kann den Port 53 ausgehend, auch nur im (W)LAN (Subnetz des Routers) benutzen.

Danke erstmal soweit für die Infos .

Inzwischen hat sich noch etwas eingeschlichen "siehe Wireshark Screen" was auf eine Verbindung mit einen anderen Computer hindeutet , oder wie wäre das zu erklären ?

( Bin kein Vollprofi was Netzwerke betrifft , aber Grundkenntnisse bestehen schon )

Wie man sieht hat mein Computer die ineterne IP 192.168.188.20 .

Nun habe ich unter Wireshark gesehen das eine verbindung zu einen Clienten 192.168.188.255 , über das Netbios Protokoll "NBNS" Workgroup auftaucht .

In meinen Netzwerk sind keine anderen Computer angeschlossen. Über Wlan "ist eigenlich der MAC Filter" in der Box eingerichtet .

Das deutet auf einen Fremden in Netzwerk oder kann jemand was dazu sagen ?

JKing schrieb:

( Bin kein Vollprofi was Netzwerke betrifft , aber Grundkenntnisse bestehen schon )

Vollprofi passt eigentlich ganz gut, zumindest nach unserem Sprachgebrauch. PS: Du musst deine Kenntnisse massiv erweitern.

Wie man sieht hat mein Computer die ineterne IP 192.168.188.20 .

Nun habe ich unter Wireshark gesehen das eine verbindung zu einen Clienten 192.168.188.255 , über das Netbios Protokoll "NBNS" Workgroup auftaucht .

NBNS –> Namensauflösung über NetBIOS. Samba kann das und das ist glaub defaultmäßig aktiv, damit man auf Windows-Kisten gescheit zugreifen kann. Da gibt es auch Discovery-Funktionen.

In meinen Netzwerk sind keine anderen Computer angeschlossen.

Das weiß dein Rechner halt nicht.

Das deutet auf einen Fremden in Netzwerk oder kann jemand was dazu sagen ?

Nein, normales Verhalten.

JKing schrieb:

Nun habe ich unter Wireshark gesehen das eine verbindung zu einen Clienten 192.168.188.255 , über das Netbios Protokoll "NBNS" Workgroup auftaucht .

In meinen Netzwerk sind keine anderen Computer angeschlossen. Über Wlan "ist eigenlich der MAC Filter" in der Box eingerichtet .

Das deutet auf einen Fremden in Netzwerk oder kann jemand was dazu sagen ?

Nein, denn das ist die broadcast-Adresse. Teste mal einen Ping:

ping -c 3 -b 192.168.188.255

mit:

sudo sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=0

und mit:

sudo sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

DJKUhpisse schrieb:

JKing schrieb:

( Bin kein Vollprofi was Netzwerke betrifft , aber Grundkenntnisse bestehen schon )

Vollprofi passt eigentlich ganz gut, zumindest nach unserem Sprachgebrauch. PS: Du musst deine Kenntnisse massiv erweitern.

Wie man sieht hat mein Computer die ineterne IP 192.168.188.20 .

Nun habe ich unter Wireshark gesehen das eine verbindung zu einen Clienten 192.168.188.255 , über das Netbios Protokoll "NBNS" Workgroup auftaucht .

NBNS –> Namensauflösung über NetBIOS. Samba kann das und das ist glaub defaultmäßig aktiv, damit man auf Windows-Kisten gescheit zugreifen kann. Da gibt es auch Discovery-Funktionen.

In meinen Netzwerk sind keine anderen Computer angeschlossen.

Das weiß dein Rechner halt nicht.

Das deutet auf einen Fremden in Netzwerk oder kann jemand was dazu sagen ?

Nein, normales Verhalten.

Eine solche Verbindung oder den Sambaservice , konnte ich bisher noch nie sehen .

Der Pingtetst ergab "in moment" folgendes :

ping -c 3 -b 192.168.188.255
WARNING: pinging broadcast address
PING 192.168.188.255 (192.168.188.255) 56(84) bytes of data.

--- 192.168.188.255 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2045ms

Im Grunde genommen geht es auch nur um das bessere Verständnis , was hier genau mit den Verbindungen und im Netzwerk geschieht.

Man kann davon ausgehen getreu den Motto , von Menschen gemacht , sodann auch von Menschen zu bezwingen.

Inzwischen stellen sich hier ziemlich merkwürdige Dinbe mit den Netzwerk und den Verbindungen raus.

Sollte es so sein das da jemand zwischen Funkt , aus welchen nutzen auch immer , kann man da wohl wenig gegen machen.

https://nocksoft.de/tutorials/schwachstelle-llmnr-und-nbt-ns-in-windows-netzwerken-verstehen-und-beheben/

Hat jetzt zwar nichts mit den Netbios Dienst zutun , aber die dubiose Canoncialverbindung Ip hat sich auch am Ende von 55 auf 58 geändert .

185.125.188.58 .

Man lernt nie aus und dazu .

JKing schrieb:

Der Pingtetst ergab "in moment" folgendes :

--- 192.168.188.255 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2045ms

Zeige dazu auch die Ausgabe von:

sysctl net.ipv4.icmp_echo_ignore_broadcasts

JKing schrieb:

DJKUhpisse schrieb:

JKing schrieb:

( Bin kein Vollprofi was Netzwerke betrifft , aber Grundkenntnisse bestehen schon )

Vollprofi passt eigentlich ganz gut, zumindest nach unserem Sprachgebrauch. PS: Du musst deine Kenntnisse massiv erweitern.

Wie man sieht hat mein Computer die ineterne IP 192.168.188.20 .

Nun habe ich unter Wireshark gesehen das eine verbindung zu einen Clienten 192.168.188.255 , über das Netbios Protokoll "NBNS" Workgroup auftaucht .

NBNS –> Namensauflösung über NetBIOS. Samba kann das und das ist glaub defaultmäßig aktiv, damit man auf Windows-Kisten gescheit zugreifen kann. Da gibt es auch Discovery-Funktionen.

In meinen Netzwerk sind keine anderen Computer angeschlossen.

Das weiß dein Rechner halt nicht.

Das deutet auf einen Fremden in Netzwerk oder kann jemand was dazu sagen ?

Nein, normales Verhalten.

Eine solche Verbindung oder den Sambaservice , konnte ich bisher noch nie sehen .

https://help.ubuntu.com/stable/ubuntu-help/nautilus-connect.html.en Das soll Windows-Server über Broadcast aufspüren.

Der Pingtetst ergab "in moment" folgendes :

ping -c 3 -b 192.168.188.255
WARNING: pinging broadcast address
PING 192.168.188.255 (192.168.188.255) 56(84) bytes of data.

--- 192.168.188.255 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2045ms

Aufgrund von Amplification-Attacken (am besten kombiniert mit Reflection) machen das die meisten Systeme nicht mehr. Auch ein Grund, warum es bei IPv6 keinen Broadcast gibt.

Inzwischen stellen sich hier ziemlich merkwürdige Dinbe mit den Netzwerk und den Verbindungen raus.

Die wären?

Hat jetzt zwar nichts mit den Netbios Dienst zutun , aber die dubiose Canoncialverbindung Ip hat sich auch am Ende von 55 auf 58 geändert .

185.125.188.55

Dann identifiziere den Prozess, der die Verbindung aufbaut. Alles andere führt zu nix.

Hier die Ausgabe : sysctl net.ipv4.icmp_echo_ignore_broadcasts

privat@privat-pc:~$ sysctl net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
privat@privat-pc:~$ 

Dann identifiziere den Prozess, der die Verbindung aufbaut. Alles andere führt zu nix.

Wenn ich wüsste , warum Ubuntu "selbstständig solche Verbindungen aufbaut , sofern der Header von den IP Servern stimmt und mit Canoncial echt ist , hätte ich den Dienst schon längst gestopt.

Das ist ja auch einer der Fragen , woher diese Verbindungen stammen.

Jemand mal ausprobiert ob diese Verbindungen auch auf den eigenen Rechner mit Ubuntu zustande kommen ?

Das mit der Netbios Verbindung zu einen Netzwerkclienten , müsste eigentlich in den Systemdiensten auftauchen , wenn Samba aktiv wäre .

Auch nicht der Fall .

Auch Domain "Workgroup" für den Netbiosclienten ☺ Meines wissens nach kommt sowas bei Windows standartmäßig erstmal zustande.

Man sollte nicht außer acht lassen das diese/r Verbindung/Client , meinen Port 37 intern geöffnet hat . "Port 37 Netbios"

Warum sollte ein Samba Server oder der gleichen auf einmal auf meinen Computer aktiv sein , was vorher NIE der Fall war .

Da hat sich etwas eingeschlichen , anders ist das nicht zu erklären .

Bin nur normaler Nutzer und gelegentlicher Nutzer . Nicht meine Zeit und Anstrengungen die da vergeudet werden.

Als Konsequenz einfach nur noch mit einer Live CD Online gehen .

Danke an euch die mit ihren Infos beigetragen haben .