5
DCs sehr viele UDP-Verbindungen zur Firewall
Hallo,
unsere Firma hat momentan, regional bedingt, eine Internet-Standleitung mit geringer Bandbreite.
Im November können wir endlich auf 50 MBit wechseln, da die Telekom in unserer Region ziemlich gut am rackern ist.
Alle Verbindungen zum Internet gehen über eine FortiGate Firewall!
Da die langsame Leitung, im Downstream, oft so gut wie ausgelastet ist habe ich mal auf der Firewall recherchiert, welche LAN-IPs die meisten Verbindungen zu ihr aufbauen.
Dabei ist mir aufgefallen, dass die beiden DCs immer mit Abstand die meisten Connections (UDP) haben.
Ob diese auch den Traffic verursachen kann ich nicht sagen, es sind nur auffällig viele Verbindungen vorhanden.
Wir verwenden 2012 R2 mit Remote-Desktop-Dienste als Terminalserver.
Die Terminalserver, der Exchange-Server und auch der WSUS und AntiVirenprogramm-Server haben vergleichsweise wenig Connections zur Firewall.
Ich dachte, gerade diese kommunizieren am meisten mit dem Internet.
Meine Frage ist nun, was genau machen die DCs, die intern auch DNS-Server sind, mit den vielen Verbindungen zum Internet?
Kann es sein, dass die Anfragen vom Exchange, vom WSUS und AntiVirenprogramm-Server oder von den TS über die DCs gehen und somit auf der Firewall als Verbindungen von den DCs angezeigt werden?
Gruß, watchdogg
unsere Firma hat momentan, regional bedingt, eine Internet-Standleitung mit geringer Bandbreite.
Im November können wir endlich auf 50 MBit wechseln, da die Telekom in unserer Region ziemlich gut am rackern ist.
Alle Verbindungen zum Internet gehen über eine FortiGate Firewall!
Da die langsame Leitung, im Downstream, oft so gut wie ausgelastet ist habe ich mal auf der Firewall recherchiert, welche LAN-IPs die meisten Verbindungen zu ihr aufbauen.
Dabei ist mir aufgefallen, dass die beiden DCs immer mit Abstand die meisten Connections (UDP) haben.
Ob diese auch den Traffic verursachen kann ich nicht sagen, es sind nur auffällig viele Verbindungen vorhanden.
Wir verwenden 2012 R2 mit Remote-Desktop-Dienste als Terminalserver.
Die Terminalserver, der Exchange-Server und auch der WSUS und AntiVirenprogramm-Server haben vergleichsweise wenig Connections zur Firewall.
Ich dachte, gerade diese kommunizieren am meisten mit dem Internet.
Meine Frage ist nun, was genau machen die DCs, die intern auch DNS-Server sind, mit den vielen Verbindungen zum Internet?
Kann es sein, dass die Anfragen vom Exchange, vom WSUS und AntiVirenprogramm-Server oder von den TS über die DCs gehen und somit auf der Firewall als Verbindungen von den DCs angezeigt werden?
Gruß, watchdogg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 317564
Url: https://administrator.de/contentid/317564
Printed on: April 19, 2024 at 13:04 o'clock
5 Comments
Latest comment
Dabei ist mir aufgefallen, dass die beiden DCs immer mit Abstand die meisten Connections (UDP) haben.
Wohin und welche Portnummern?Vermutlich sind es einfach nur ausgehende DNS Anfragen.
VG
Val
Hi,
falls auf den DNS-Servern Weiterleitungen ins Internet eingerichtet sind, dann könnten das daher kommen.
Welche Ports sind es denn?
E.
falls auf den DNS-Servern Weiterleitungen ins Internet eingerichtet sind, dann könnten das daher kommen.
Welche Ports sind es denn?
E.
Moin,
ausschlaggebend ist nicht unbedingt die Anzahl der Connections pro Host, sondern eher die verwendete Bandbreite. Wenn's die Firewall keine Flows anzeigen kann, ist die beste Möglichkeit m.M.n. den Traffic per Wireshark zu analysieren indem man einfach am Switch den LAN-Port der FW auf einen Diagnose-Host spiegelt.
lg,
Slainte
ausschlaggebend ist nicht unbedingt die Anzahl der Connections pro Host, sondern eher die verwendete Bandbreite. Wenn's die Firewall keine Flows anzeigen kann, ist die beste Möglichkeit m.M.n. den Traffic per Wireshark zu analysieren indem man einfach am Switch den LAN-Port der FW auf einen Diagnose-Host spiegelt.
lg,
Slainte
Danke an alle,
alle Anfragen gehen an Port 53, und das ist der Port für DNS-Anfragen.
Gruß, watchdogg
alle Anfragen gehen an Port 53, und das ist der Port für DNS-Anfragen.
Gruß, watchdogg
Na dann ist die Sache geklärt. Kannst diesen Thread zumachen.
