Toon posts:

NAT Active Sessions Table vraag

Pagina: 1
Acties:
  • 2.106 views sinds 30-01-2008
  • Reageer

maandag 4 juli 2005 17:52

Acties:

Verwijderd

Topicstarter
Wat zegt deze tabel nou eigenlijk ?? Ik zie de volgende tabel in mijn router staan:

-------------------------------------------------------------------------------
Private IP :Port #Pseudo Port Peer IP :Port Ifno Status
-------------------------------------------------------------------------------
192.168.1.10 1080 1080 219.153.10.187 4407 3 0
192.168.1.10 2103 2103 213.172.40.196 4578 3 0
192.168.1.10 1025 1025 212.165.170.22 11471 3 0
192.168.1.10 1433 1433 211.47.40.130 2231 3 0
192.168.1.10 1433 1433 212.235.26.165 4714 3 0
192.168.1.11 4662 4662 217.83.16.17 43727 3 0
192.168.1.34 53755 35215 207.46.4.69 1863 3 0
192.168.1.10 9898 9898 60.42.199.176 1465 3 0
192.168.1.10 1433 1433 212.182.40.197 2202 3 0
192.168.1.10 5554 5554 60.42.199.176 3979 3 0
192.168.1.10 1433 1433 212.235.152.213 3788 3 0
192.168.1.34 54819 34487 82.168.142.56 90 3 0
192.168.1.10 10000 10000 202.186.124.114 1878 3 0
192.168.1.34 54842 34486 82.168.142.56 90 3 0
192.168.1.10 6101 6101 146.95.148.183 3001 3 0
192.168.1.34 54870 34485 82.168.142.56 90 3 0
192.168.1.10 1433 1433 212.165.170.22 11474 3 0
192.168.1.10 4899 4899 211.47.128.143 3275 3 0
192.168.1.34 54871 34484 66.102.9.99 80 3 0
192.168.1.34 54872 34482 64.233.167.99 80 3 0
192.168.1.34 54873 34481 64.233.167.99 80 3 0
192.168.1.34 54874 34480 64.233.167.99 80 3 0
192.168.1.34 54875 34479 64.233.167.99 80 3 0


Ik zou niet weten wat het zegt. Sterker nog, vanochtend hing er geen een pc aan mijn router, alleen een hub, en zelfs toen gaf de router een soortgelijke tabel, maar dan alleen met 192.168.1.10 als adres.

Kan iemand me iets meer vertellen ?

Rob

maandag 4 juli 2005 19:52

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Als er van binnen naar buiten een SYN pakketje verstuurd wordt, wordt de sessie onthouden in de sessietabel. Zogauw er een SYN/ACK of een ACK pakketje van buiten naar binnen ontvangen wordt, wordt er gekeken of deze matched bij een sessie in de tabel.

Als die niet matched, betekent dit verkeer van buiten geiniteerd is, en derhalve gedropt wordt (tenzij je een portmapping hebt gemaakt). Als het wel matched, is het dus returnverkeer van een van binnin geiniteerde sessie.

de onderstaande sessie bestaat uit de volgende info:

192.168.1.34 54873 34481 64.233.167.99 80 3 0

192.168.1.34 source adres (interne host die sessie heeft geinitieerd)
54873 source port (poort waarop de sessie gestart is)
34481 pseudopoort (als meerdere interne hosts het zelfde portnummer gebruiken wordt dit automatisch vervangen. meestal niet nodig zoals je in de tabel ziet)
64.233.167.99 destination adres (host waarnaar verbinding wordt gemaakt)
80 destination poort (http, dus waarschijnlijk een website)
3 interface nummer
0 status (timeout ofzo?)


Private IP :Port #Pseudo Port Peer IP :Port Ifno Status

[ Voor 14% gewijzigd door JackBol op 04-07-2005 19:54 ]

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 5 juli 2005 08:47

Acties:

Verwijderd

Topicstarter
Ok, duidelijk verhaal, maar wat ik dan niet snap, is dat er dus schijbaar van binnenuit verkeer is geinitieerd, maar er was op een gegeven moment niets wat aan de router hing, alleen een hub. Die doet zoiets toch niet ? Maar die tabel gaf wel verkeer aan.....

dinsdag 5 juli 2005 11:36

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Verwijderd schreef op dinsdag 05 juli 2005 @ 08:47:
Ok, duidelijk verhaal, maar wat ik dan niet snap, is dat er dus schijbaar van binnenuit verkeer is geinitieerd, maar er was op een gegeven moment niets wat aan de router hing, alleen een hub. Die doet zoiets toch niet ? Maar die tabel gaf wel verkeer aan.....
de router zelf zit ook aan de 'binnenkant' van het netwerk. Als die bijv. zoekt naar een update of op een andere manier contact zoekt met internet zal voor de router zelf ook een sessie gemaakt worden.

als je die betreffende sessietabel post kan ik je meer vertellen.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 5 juli 2005 11:49

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 04-05 16:37

leuk_he

1. Controleer de kabel!

Verwijderd schreef op dinsdag 05 juli 2005 @ 08:47:
Ok, duidelijk verhaal, maar wat ik dan niet snap, is dat er dus schijbaar van binnenuit verkeer is geinitieerd, maar er was op een gegeven moment niets wat aan de router hing, alleen een hub. Die doet zoiets toch niet ? Maar die tabel gaf wel verkeer aan.....
Hoe lees je dan de tabel uit? daarvoor moet er toch iets aan de router vastzitten.

affijn ik zie 3 adressen in de table:

code:
1
2
3

192.168.1.10 
192.168.1.11 
192.168.1.34


offtopic:
als je het in [code] tags zet dan klopt de uitlijing in je start post wel.


Zoek eens uit aan welke devices deze behoren. zijn dit static portmappings misschien? En vergeet niet dat er ook een timeout zit op entry's. Dandat je de PC hebt uitgezet duurt het even (waarschijnlijk wel < 1 uur) voordat alle entry's weg zijn.

[ Voor 4% gewijzigd door leuk_he op 05-07-2005 11:50 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 5 juli 2005 12:32

Acties:

Verwijderd

Topicstarter
Dit is wat er NU in staat, met 1 Mac aangesloten (34), en deze mac hangt aan de hub. Verder zit er niets aangesloten aan de router:

Ik lees de tabel uit via Remote Management. Het IP-adres van mijn router intern is 192.168.1.1, en 192.168.1.10 was een ip-adres wat uitgedeeld was aan de machine die nu 192.168.1.34 heeft.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81

-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Ifno  Status   
-------------------------------------------------------------------------------
   192.168.1.34 55968        33668   82.168.142.56    90     3  0     
   192.168.1.10  1080         1080  219.153.10.187  4407     3  0     
   192.168.1.34 55750        33813   82.168.142.36    90     3  0     
   192.168.1.34 54921        34449   64.233.167.99    23     3  0     
   192.168.1.34 54922        34448   64.233.167.99  8080     3  0     
   192.168.1.34 49756        34552  194.159.73.138    53     3  0     
   192.168.1.34 49757        34551  194.159.73.138    53     3  0     
   192.168.1.10  4899         4899    61.79.86.231  3849     3  0     
   192.168.1.34 54928        34441   64.233.167.99  8080     3  0     
   192.168.1.10  1433         1433   212.0.140.116  1076     3  0     
   192.168.1.34 49763        34543  194.159.73.138    53     3  0     
   192.168.1.10  4899         4899  222.136.89.238  3433     3  0     
   192.168.1.34 49769        34535  194.159.73.138    53     3  0     
   192.168.1.34 55754        33806   82.168.142.56    90     3  0     
   192.168.1.34 55755        33805   82.168.142.56    90     3  0     
   192.168.1.10  1433         1433   211.47.40.130  2231     3  0     
   192.168.1.34 55756        33804   82.168.142.56    90     3  0     
   192.168.1.10  4899         4899  211.244.69.253  1079     3  0     
   192.168.1.34 55208        34189   64.233.167.99  8080     3  0     
   192.168.1.34 55209        34188   64.233.167.99  8080     3  0     
   192.168.1.34 55210        34187   64.233.167.99  8080     3  0     
   192.168.1.34 55211        34186   64.233.167.99  8080     3  0     
   192.168.1.10  4899         4899     62.215.25.4  3662     3  0     
   192.168.1.10  4899         4899    58.89.112.15  4384     3  0     
   192.168.1.34 54969        34395   64.233.167.99  8080     3  0     
   192.168.1.10  2103         2103    211.35.156.5  6000     3  0     
   192.168.1.34 55793        33779   82.168.142.56    90     3  0     
   192.168.1.34 55794        33778   82.168.142.56    90     3  0     
   192.168.1.34 55795        33776   82.168.142.56    90     3  0     
   192.168.1.34 50302        34664  213.19.161.176   110     3  0     
   192.168.1.11  4662         4662    217.83.16.17 43727     3  0     
   192.168.1.34 55248        34161   64.233.167.99  8080     3  0     
   192.168.1.34 55249        34160   64.233.167.99  8080     3  0     
   192.168.1.34 55250        34159   64.233.167.99  8080     3  0     
   192.168.1.34 55251        34158   64.233.167.99  8080     3  0     
   192.168.1.34 55809        33775   82.168.142.56    90     3  0     
   192.168.1.10  6129         6129  212.188.18.100  3709     3  0     
   192.168.1.10  9898         9898   60.42.199.176  1465     3  0     
   192.168.1.10  4899         4899  221.166.210.56  3356     3  0     
   192.168.1.10  4899         4899   213.13.232.62  4092     3  0     
   192.168.1.10  5554         5554   60.42.199.176  3979     3  0     
   192.168.1.10  5900         5900  206.180.110.98  1695     3  0     
   192.168.1.10  1433         1433 212.235.152.213  3788     3  0     
   192.168.1.34 54819        34487   82.168.142.56    90     3  0     
   192.168.1.34 55290        34134   64.233.167.99  8080     3  0     
   192.168.1.34 55291        34133   64.233.167.99  8080     3  0     
   192.168.1.34 55847        33751   82.168.142.56    90     3  0     
   192.168.1.34 55848        33750   82.168.142.56    90     3  0     
   192.168.1.34 55849        33749   82.168.142.56    90     3  0     
   192.168.1.34 55850        33748   82.168.142.56    90     3  0     
   192.168.1.10 10000        10000 202.186.124.114  1878     3  0     
   192.168.1.34 54842        34486   82.168.142.56    90     3  0     
   192.168.1.10  6101         6101  146.95.148.183  3001     3  0     
   192.168.1.10  6129         6129 212.114.239.159  1768     3  0     
   192.168.1.10  4899         4899  219.156.98.116  3576     3  0     
   192.168.1.10  1433         1433    163.178.76.5  1751     3  0     
   192.168.1.34 55887        33723   82.168.142.56    90     3  0     
   192.168.1.34 55888        33722   82.168.142.56    90     3  0     
   192.168.1.34 55889        33721   82.168.142.56    90     3  0     
   192.168.1.34 55890        33720   82.168.142.56    90     3  0     
   192.168.1.34 54870        34485   82.168.142.56    90     3  0     
   192.168.1.34 49229        32965     207.46.4.69  1863     3  0     
   192.168.1.34 55092        34274   64.233.167.99  8080     3  0     
   192.168.1.34 55093        34273   64.233.167.99  8080     3  0     
   192.168.1.10  1433         1433   66.232.147.31  6000     3  0     
   192.168.1.34 55110        34254   64.233.167.99  8080     3  0     
   192.168.1.34 55111        34253   64.233.167.99  8080     3  0     
   192.168.1.34 55925        33696   82.168.142.56    90     3  0     
   192.168.1.34 55926        33695   82.168.142.56    90     3  0     
   192.168.1.34 55927        33694   82.168.142.56    90     3  0     
   192.168.1.34 55928        33693   82.168.142.56    90     3  0     
   192.168.1.10  4899         4899 219.104.132.172 62549     3  0     
   192.168.1.10  1433         1433    212.2.163.81  3936     3  0     
   192.168.1.34 55151        34228   64.233.167.99  8080     3  0     
   192.168.1.34 55152        34227   64.233.167.99  8080     3  0     
   192.168.1.34 55153        34226   64.233.167.99  8080     3  0     
   192.168.1.34 55154        34225   64.233.167.99  8080     3  0     
   192.168.1.34 55967        33669   82.168.142.56    90     3  0

dinsdag 5 juli 2005 21:16

Acties:

Verwijderd

Onderstaande tabel komt van deze pagina. Helaas staat er geen uitleg bij.
code:
1
2
3
4
5
6
7

0 - other TCP status
1 - TCP fin incoming
2 - TCP fin out
3 - TCP fin closing
4 - TCP syn
5 - TCP syn,ack
6 - TCP ack
Mijn ervaring is dat de connecties die op status '0' staan een soort overblijfsels zijn van niet correct gesloten verbindingen. Zeker met P2P kan de lijst erg lang worden. als je je router reboot zijn ze verdwenen.

Update je router eens naar de laatste firmware, Draytek (daar hebben we het toch over he?) heeft wat verbeteringen aangebracht zodat deze lijst schoner blijft. In de release notes voor firmware 2.5.5 (voor mijn 2900) valt onder andere te lezen:
- Clear TCP session with status 0 and 3 in NAT session table
Pagina: 1
Reageer