---

Følgende har jeg skrevet til Dlink-importøren - men måske er der andre der
har specifikke anvisninger - der evt. kunne rette sig mod den "grimme"
compaq Presario

Her er hvad jeg skrev:

Davs,

Jeg har modtaget et filterpapir fra jer der anviser NETBIOS-filtrering på
DI106. Jeg har sat to installationer op med samme router. I den ene
installation virker filtreringen, men i den anden er der er Compaq computer
der "snakker" - efter alt hvad jeg kan bedømme på en kilde-kanal på noget
over 1100 d. Jeg har forsøgt at etablere et ekstra filter, som har været
forsøgt refereret over routerens menuer 3,1 og 11,1 uden at det har virket.
Jeg kommer her med cifferstrengen, som af udlæst af routeren:

45 00 00 3C B0 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35

Det er 192.168.1.7, der går ud hele tiden - øjensynligt på kildekanal

044E h mod kanal 35 h

Hvad gør man ved det?

MVH

Per Münster
prm@grundtvig.dk

---

On Mon, 17 Sep 2001 13:42:58 +0200, "Per Münster"
<munster@grundtvig.dk> wrote:

> 45 00 00 3C B0 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35

Det er 168.1.7.194, der forsøger at kontakte 239.134.83.4.

Sidstnævnte er en multicast-adresse, hvilket er lidt underligt,
og det skulle kunne filtreres bort uden problemer.

IP-protokol 80 er SSCOPMCE, hvilket ikke lige umiddelbart siger
mig noget.

Hvis jeg var dig, ville jeg filtrere 224/4 (dvs. 224.0.0.0 med
masken 240.0.0.0), så det ikke får routeren til at ringe op.

-A

---

On Mon, 17 Sep 2001 14:52:11 +0200, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> 45 00 00 3C B0 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
>
>Det er 168.1.7.194, der forsøger at kontakte 239.134.83.4.
>
>Sidstnævnte er en multicast-adresse, hvilket er lidt underligt,
>og det skulle kunne filtreres bort uden problemer.

Det er også, hvad jeg får det til, men jeg tror, der mangler en byte i
ovenstående, hvilket giver et forskudt resultat. Skubber man omkring
midten, får man i stedet:

Source Address: 192.168.1.7
Destination Address: 194.239.134.83 (ns3.tele.dk)
Protokol: UDP
Source port: 1102
Destination port: 53

.... altså et DNS-opslag til ns3.tele.dk - og det giver jo mere mening.

--
- Peter Brodersen

---

Det er nok rigtigt - Teledanmarks DNS-server skulle være målet. Men jeg har
ellers fået at vide fra D-link.dk at man ikke kan filtrere det ud, fordi det
vil lamme al internet-trafik - og det kan jeg på den anden side IKKE forstå.
Er der nogen af jer der kender DI-106`? Hvor skal i givet fald filtret
sluttes på (refereres)?

MVH

Per Münster
Peter Brodersen <professionel@nerd.dk> skrev i en
nyhedsmeddelelse:Jxmp7.14019$9V5.599553@news000.worldonline.dk...
> On Mon, 17 Sep 2001 14:52:11 +0200, Asbjorn Hojmark
> <Asbjorn@Hojmark.ORG> wrote:
>
> >> 45 00 00 3C B0 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
> >
> >Det er 168.1.7.194, der forsøger at kontakte 239.134.83.4.
> >
> >Sidstnævnte er en multicast-adresse, hvilket er lidt underligt,
> >og det skulle kunne filtreres bort uden problemer.
>
> Det er også, hvad jeg får det til, men jeg tror, der mangler en byte i
> ovenstående, hvilket giver et forskudt resultat. Skubber man omkring
> midten, får man i stedet:
>
> Source Address: 192.168.1.7
> Destination Address: 194.239.134.83 (ns3.tele.dk)
> Protokol: UDP
> Source port: 1102
> Destination port: 53
>
> ... altså et DNS-opslag til ns3.tele.dk - og det giver jo mere mening.
>
> --
> - Peter Brodersen

---

On Tue, 18 Sep 2001 10:33:31 +0200, "Per Münster"
<munster@grundtvig.dk> wrote:

>Det er nok rigtigt - Teledanmarks DNS-server skulle være målet. Men jeg har
>ellers fået at vide fra D-link.dk at man ikke kan filtrere det ud, fordi det
>vil lamme al internet-trafik - og det kan jeg på den anden side IKKE forstå.

Din computer laver en DNS-forespørgsel. Det gør din computer hver
gang, du bruger den, fx hvis du går ind på www.computerworld.dk, hvis
din newsreader skal tilgå news.tele.dk, og så fremdeles. Den er med
andre ord ret vigtig.

Problemet er bare, at din computer også laver andre opslag nu og da.
Hvis jeg husker DLINK's rigtigt, så er der to liniers output af hvad,
der triggede opkaldet.

Hvilket system kører computeren på 192.168.1.7?

--
- Peter Brodersen

---

Den kører W98, men da den er passet til af Compaq (det er en presario), så
har jeg en svær mistanke til at Compaq har udrustet den med al verdens
smarte opdateringssystemer - problemet er blot at det er upraktisk i et
miljø, hvor der er dial-up-omkostninger på. Det er den eneste w98 i det
pågældende net, der driller.

Jeg har luret lidt på hvad der er installeret, men åbentbart ikke fået
fjernet nok - har også været i Registry for at lukke for noget aut.
DNS-look-up, men uden virkning. Det har ellers før hjulpet.

MVH

Per Münster
Peter Brodersen <professionel@nerd.dk> skrev i en
nyhedsmeddelelse:VdFp7.12$Q3.1184@news010.worldonline.dk...
> On Tue, 18 Sep 2001 10:33:31 +0200, "Per Münster"
> <munster@grundtvig.dk> wrote:
>
> >Det er nok rigtigt - Teledanmarks DNS-server skulle være målet. Men jeg
har
> >ellers fået at vide fra D-link.dk at man ikke kan filtrere det ud, fordi
det
> >vil lamme al internet-trafik - og det kan jeg på den anden side IKKE
forstå.
>
> Din computer laver en DNS-forespørgsel. Det gør din computer hver
> gang, du bruger den, fx hvis du går ind på www.computerworld.dk, hvis
> din newsreader skal tilgå news.tele.dk, og så fremdeles. Den er med
> andre ord ret vigtig.
>
> Problemet er bare, at din computer også laver andre opslag nu og da.
> Hvis jeg husker DLINK's rigtigt, så er der to liniers output af hvad,
> der triggede opkaldet.
>
> Hvilket system kører computeren på 192.168.1.7?
>
> --
> - Peter Brodersen

---

On Tue, 18 Sep 2001 12:49:49 +0200, "Per Münster"
<munster@grundtvig.dk> wrote:

>Det er den eneste w98 i det pågældende net, der driller.

Som nævnt mener jeg at DLink'en (hvis den kører nogenlunde samme
system som ZyXEL'er) giver mulighed for mere end én linie dump af den
datapakke, der triggede opkaldet. Hvis den gør det, må du gerne smide
den her. Så er der mulighed for at se (noget af) den adresse, din
computer forsøger at slå op.

Alternativt må du installere en af følgende:

1. en pakkesniffer, så du kan se hvilke pakker, din computer sender.
For eksempel Ethereal: www.ethereal.com
2. en "personlig firewall" som fx ZoneAlarm eller et lignende program,
der kan give lyd fra sig, hver gang et program på din computer
forsøger at tilgå Internet. Med lidt held er det et selvstændigt
program, der er tale om, og så vil du kunne finde det (og evt. blocke
det eller slette det) på den måde.
--
- Peter Brodersen

---

Ja der er en tilsvarende Zixel - her er de to linier samlet:

45 00 00 3C B0 08 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
00 28 4C 91 00 01 01 00 00 01 00 00 00 00 00 00 03 77 77 77 06 63 6F 6D

Der er kontrollæst, og de skulle alle være der.

MVH

Per Münster



Peter Brodersen <professionel@nerd.dk> skrev i en
nyhedsmeddelelse:JTFp7.24$Q3.1928@news010.worldonline.dk...
> On Tue, 18 Sep 2001 12:49:49 +0200, "Per Münster"
> <munster@grundtvig.dk> wrote:
>
> >Det er den eneste w98 i det pågældende net, der driller.
>
> Som nævnt mener jeg at DLink'en (hvis den kører nogenlunde samme
> system som ZyXEL'er) giver mulighed for mere end én linie dump af den
> datapakke, der triggede opkaldet. Hvis den gør det, må du gerne smide
> den her. Så er der mulighed for at se (noget af) den adresse, din
> computer forsøger at slå op.
>
> Alternativt må du installere en af følgende:
>
> 1. en pakkesniffer, så du kan se hvilke pakker, din computer sender.
> For eksempel Ethereal: www.ethereal.com
> 2. en "personlig firewall" som fx ZoneAlarm eller et lignende program,
> der kan give lyd fra sig, hver gang et program på din computer
> forsøger at tilgå Internet. Med lidt held er det et selvstændigt
> program, der er tale om, og så vil du kunne finde det (og evt. blocke
> det eller slette det) på den måde.
> --
> - Peter Brodersen

---

On Tue, 18 Sep 2001 13:40:54 +0200, "Per Münster"
<munster@grundtvig.dk> wrote:

>45 00 00 3C B0 08 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
>00 28 4C 91 00 01 01 00 00 01 00 00 00 00 00 00 03 77 77 77 06 63 6F 6D

Jeg bankede i sin tid (i al beskedenhed) http://zyxel.trc.dk/ sammen,
og såvidt, jeg lige præcis kan se af den sidste data, er det
www.com(resten er ukendt)..., der forsøges at tilgå.

Der er sikkert utallige filrmaer, der begynder med www.com... - fx
www.computerworld.dk og www.comon.dk.

Skal du finde ud af mere, bliver du nok nødt til at installere en
pakkesniffer eller "Zone Alarm" eller lignende program.

--
- Peter Brodersen

---

Det var da en fantastisk site. Men jeg kan også ud af analysen se, at det
starter med www.com - og jeg tør næsten æde min gamle hat på at det der
mangler er paq.com, så det til sammen danner www.compaq.com. Det er netop
denne pc der driller og der skal nok spille en driver-service på denne
Presario, der uophørligt forsøger at komme i kontakt med producentens site.
Iøvrigt tror jeg ikke at jeg behøver vide mere. Jeg kan enten gå efter at
effektivisere filtret, eller at finde ud af hvad det er for et program, der
spiller på computeren. Det sidste finder jeg nok mest rigtigt.

MVH

Per Münster

Peter Brodersen <professionel@nerd.dk> skrev i en
nyhedsmeddelelse:6tGp7.32$Q3.2567@news010.worldonline.dk...
> On Tue, 18 Sep 2001 13:40:54 +0200, "Per Münster"
> <munster@grundtvig.dk> wrote:
>
> >45 00 00 3C B0 08 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
> >00 28 4C 91 00 01 01 00 00 01 00 00 00 00 00 00 03 77 77 77 06 63 6F 6D
>
> Jeg bankede i sin tid (i al beskedenhed) http://zyxel.trc.dk/ sammen,
> og såvidt, jeg lige præcis kan se af den sidste data, er det
> www.com(resten er ukendt)..., der forsøges at tilgå.
>
> Der er sikkert utallige filrmaer, der begynder med www.com... - fx
> www.computerworld.dk og www.comon.dk.
>
> Skal du finde ud af mere, bliver du nok nødt til at installere en
> pakkesniffer eller "Zone Alarm" eller lignende program.
>
> --
> - Peter Brodersen

---

"Per Münster" <munster@grundtvig.dk> wrote in message
news:OYGp7.6443$lk7.119043@news.get2net.dk...
> Det var da en fantastisk site. Men jeg kan også ud af analysen se, at det
> starter med www.com - og jeg tør næsten æde min gamle hat på at det der
> mangler er paq.com, så det til sammen danner www.compaq.com. Det er netop
> denne pc der driller og der skal nok spille en driver-service på denne
> Presario, der uophørligt forsøger at komme i kontakt med producentens
site.
> Iøvrigt tror jeg ikke at jeg behøver vide mere. Jeg kan enten gå efter at
> effektivisere filtret, eller at finde ud af hvad det er for et program,
der
> spiller på computeren. Det sidste finder jeg nok mest rigtigt.
>
> MVH
>
> Per Münster
>
> Peter Brodersen <professionel@nerd.dk> skrev i en
> nyhedsmeddelelse:6tGp7.32$Q3.2567@news010.worldonline.dk...
> > On Tue, 18 Sep 2001 13:40:54 +0200, "Per Münster"
> > <munster@grundtvig.dk> wrote:
> >
> > >45 00 00 3C B0 08 00 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
> > >00 28 4C 91 00 01 01 00 00 01 00 00 00 00 00 00 03 77 77 77 06 63 6F 6D
> >
> > Jeg bankede i sin tid (i al beskedenhed) http://zyxel.trc.dk/ sammen,
> > og såvidt, jeg lige præcis kan se af den sidste data, er det
> > www.com(resten er ukendt)..., der forsøges at tilgå.
> >
> > Der er sikkert utallige filrmaer, der begynder med www.com... - fx
> > www.computerworld.dk og www.comon.dk.
> >
> > Skal du finde ud af mere, bliver du nok nødt til at installere en
> > pakkesniffer eller "Zone Alarm" eller lignende program.
> >
> > --
> > - Peter Brodersen
>
>
Hi,
check lige om det i Compaq'en ikke lige körer et program som heder noget
lignende BackWeb et eller andet.

/Steen

---

Ja der manglede faktisk et 00 (skrevet her som oo), men så er
adresseangivelsen nok en anden grundet forskydningen - jeg forstår dog
stadig ikke de 224, der svarer til E0, den optræder jo slet ikke i mine
angivelser?

Maskinen skal stadig kunne gå på internettet, men kun med det der er
relevant.

MVH

Per Münster

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> skrev i en
nyhedsmeddelelse:jdrbqtkcamvmm0u39osop6g85t6jo2m6po@news.sunsite.dk...
> On Mon, 17 Sep 2001 13:42:58 +0200, "Per Münster"
> <munster@grundtvig.dk> wrote:
>
> > 45 00 00 3C B0 08 oo 00 7F 11 80 B6 C0 A8 01 07 C2 EF 86 53 04 4E 00 35
>
> Det er 168.1.7.194, der forsøger at kontakte 239.134.83.4.
>
> Sidstnævnte er en multicast-adresse, hvilket er lidt underligt,
> og det skulle kunne filtreres bort uden problemer.
>
> IP-protokol 80 er SSCOPMCE, hvilket ikke lige umiddelbart siger
> mig noget.
>
> Hvis jeg var dig, ville jeg filtrere 224/4 (dvs. 224.0.0.0 med
> masken 240.0.0.0), så det ikke får routeren til at ringe op.
>
> -A

---

On Tue, 18 Sep 2001 10:57:18 +0200, "Per Münster"
<munster@grundtvig.dk> wrote:

>> Hvis jeg var dig, ville jeg filtrere 224/4 (dvs. 224.0.0.0 med
>> masken 240.0.0.0), så det ikke får routeren til at ringe op.

> jeg forstår dog stadig ikke de 224, der svarer til E0, den optræder
> jo slet ikke i mine angivelser?

Nej, men det gør 239, og 224.0.0.0 til 239.255.255.255 er alle
multicast-adresser, og man kan filtrere dem alle bort med den
adresse og maske jeg angav.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Tue, 18 Sep 2001 23:26:49 +0200, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>Nej, men det gør 239, og 224.0.0.0 til 239.255.255.255 er alle
>multicast-adresser, og man kan filtrere dem alle bort med den
>adresse og maske jeg angav.

.... men den optræder vel kun pga. forvirringen om den manglende oktet?

--
- Peter Brodersen

---

On Tue, 18 Sep 2001 23:42:02 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

>> Nej, men det gør 239, og 224.0.0.0 til 239.255.255.255 er alle

> ... men den optræder vel kun pga. forvirringen om den manglende oktet?

Ja.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/