Browser geht - Ping nicht?!

Hallo Ihrs,

ich habe hier ein etwas seltsames Problem und weiss gerade auch überhaupt nicht, in welcher Richtung in danach suchen soll.

Wenn ich Webseiten über den Browser eingebe als www.webseite.de, dann funktioniert alles tadellos. Gehe ich auf die Konsole und gebe ein ping www.webseite.de, dann funktioniert gar nix - und das nicht nur bei einer Webseite, sondern bei allen. Es hat also nichts damit zu tun, dass ein bestimmter Server so eingestellt ist, dass er auf Pings nicht antwortet, sondern man hat über die Konsole den Eindruck, dass DNS nicht funktioniert. Wieso funktioniert das dann aber über den Browser???

Zwischen dem Internet und dem User sitzt ein Proxy, der auch im Browser eingestellt ist. Aber auch wenn man direkt von diesem Proxy aus versucht, ins Internet per Ping zu kommen, geht da nix… Also kann die Firewall-Einstellung auch nicht so sein, dass nur Anfragen vom Proxy weitergeleitet werden. Die Firewall sagt übrigens auch, dass sie die Auflösung macht, also die Anfragen gehen wohl raus.

Es wird auch nur die Browseradresse aufgelöst, pop-Adressen wie pop.gmx.net werden nicht aufgelöst und sind auch nicht pingbar…

Was kann das sein?! Wie kann das sein, dass der Browser geht, aber ein Ping grundsätzlich gar nicht?!

Grüsse
schuelsche

Hallo Ihrs,

Hi Dus,

ist Dein Betriebssystem geheim?

Wenn ich Webseiten über den Browser eingebe als
www.webseite.de, dann funktioniert alles tadellos. Gehe ich
auf die Konsole und gebe ein ping www.webseite.de, dann
funktioniert gar nix - und das nicht nur bei einer Webseite,
sondern bei allen. Es hat also nichts damit zu tun, dass ein
bestimmter Server so eingestellt ist, dass er auf Pings nicht
antwortet, sondern man hat über die Konsole den Eindruck, dass
DNS nicht funktioniert. Wieso funktioniert das dann aber über
den Browser???

Gar nicht. ping und browser nutzen (bei Linux zumindest) beide den resolver, um Namen aufzuloesen. Bei Windows wird das aehnlich sein. Was sagt denn

$ nslookup www.google.de

Zwischen dem Internet und dem User sitzt ein Proxy, der auch
im Browser eingestellt ist. Aber auch wenn man direkt von
diesem Proxy aus versucht, ins Internet per Ping zu kommen,
geht da nix… Also kann die Firewall-Einstellung auch nicht
so sein, dass nur Anfragen vom Proxy weitergeleitet werden.

Vielleicht hat jemand bei euch entschieden, das ICMP boese ist und es gesperrt.

Die Firewall sagt übrigens auch, dass sie die Auflösung macht,
also die Anfragen gehen wohl raus.

Wie stellst Du das fest?

Es wird auch nur die Browseradresse aufgelöst, pop-Adressen
wie pop.gmx.net werden nicht aufgelöst und sind auch nicht
pingbar…

Wie genau stellst Du das fest?

Gruss vom Frank.

Hi,

ist Dein Betriebssystem geheim?

Natürlich nicht, sind zwei: SuSE Linux 9.0, W2K.

Gar nicht. ping und browser nutzen (bei Linux zumindest)
beide den resolver, um Namen aufzuloesen. Bei Windows wird
das aehnlich sein. Was sagt denn

$ nslookup
www.google.de

Seltsamerweise geht es mittlerweile wieder, obwohl nichts verändert wurde…

nslookup unter Linux sagt momentan:

nslookup www.wer-weiss-was.de
Note: nslookup is deprecated and may be removed from future releases.
Consider using the dig' or host’ programs instead. Run nslookup with
the `-sil[ent]’ option to prevent this message from appearing.
Server: 192.168.10.20
Address: 192.168.10.20#53

Non-authoritative answer:
Name: www.wer-weiss-was.de
Address: 213.133.98.163
Name: www.wer-weiss-was.de
Address: 213.133.110.247

Für andere Adressen kommt folgendes:

nslookup www.google.de
Note: nslookup is deprecated and may be removed from future releases.
Consider using the dig' or host’ programs instead. Run nslookup with
the `-sil[ent]’ option to prevent this message from appearing.
Server: 192.168.10.20
Address: 192.168.10.20#53

Non-authoritative answer:
www.google.de canonical name = www.google.com.

Vielleicht hat jemand bei euch entschieden, das ICMP boese ist
und es gesperrt.

Nein, das hat eben niemand entschieden Das hätte ich sicherlich mitbekommen… Insofern ist es ja so verwunderlich, dass es auf einmal nimmer geht…

Die Firewall sagt übrigens auch, dass sie die Auflösung macht,
also die Anfragen gehen wohl raus.

Wie stellst Du das fest?

Steht im Logfile.

Es wird auch nur die Browseradresse aufgelöst, pop-Adressen
wie pop.gmx.net werden nicht aufgelöst und sind auch nicht
pingbar…

Wie genau stellst Du das fest?

Indem ich im Webbrowser „www.google.de“ eingebe und das problemlos funktioniert und indem ich anschliessend von der Konsole aus versuche, google zu pingen - und das funktioniert nicht.
Momentan sind gerade manche Seiten pingbar (so zB t-online.de oder heise.de) und andere (google zB) nicht. Aber alle Seiten lassen sich über den Webbrowser problemlos anzeigen (sie stehen auch nicht im Cache, was man durch Reload und den Aufruf von Folgeseiten problemlos prüfen kann).

Und im Normalfall ist es ja wohl eher anders rum: der Server lässt sich pingen, aber die Seite im Webbrowser nicht aufrufen.

Grüsse
schuelsche

Hallo schuelsche,
das wird an Deiner Firewall liegen.
Bei mir kann ich das unter ‚Acces Controls‘ ‚Proxy Services‘ einstellen. Wie das bei Dir aussieht, mußt Du mal sehen.
cu Rainer

Momentan sind gerade manche Seiten pingbar (so zB t-online.de
oder heise.de) und andere (google zB) nicht. Aber alle Seiten
lassen sich über den Webbrowser problemlos anzeigen (sie
stehen auch nicht im Cache, was man durch Reload und den
Aufruf von Folgeseiten problemlos prüfen kann).

Und im Normalfall ist es ja wohl eher anders rum: der Server
lässt sich pingen, aber die Seite im Webbrowser nicht
aufrufen.

Ich habe zum Beispiel meine kompletten Server gegen ICMP geblockt. Sie lassen sich also nicht anpingen (bzw. geben auf einen Ping kein Echo). Anfragen auf Port 80 hingegen werden durch den Webserver beantwortet. Also durchaus gängige Praxis bei Servern. Ping wird eben häufig von bösen Jungs benutzt, um sich überhaupt erstmal einen Überblick zu verschaffen, welche Rechner im Subnet erreichbar sind. Wer auf eine IP oder einen Namen kein Ping-Echo bekommt, versucht es (vermutlich) nicht auf anderen Wegen. Es sei denn, er weiss, dass der Rechner da sein muss. (Weil er ihn über den Browser entdeckt hat…)

Gruß, Philip

Waisenkind ICMP
Hi,

Ich habe zum Beispiel meine kompletten Server gegen ICMP
geblockt. Also durchaus gängige Praxis bei Servern.

Ja, leider. Einen Sinn kann ich dahinter nicht erkennen.

Ping wird eben häufig von bösen Jungs benutzt,
um sich überhaupt erstmal einen Überblick zu verschaffen,
welche Rechner im Subnet erreichbar sind. Wer auf eine IP oder
einen Namen kein Ping-Echo bekommt, versucht es (vermutlich)
nicht auf anderen Wegen.

Das glaubst Du nicht wirklich, oder? Gerade, wenn ich es auf Server abgesehen habe, also nicht auf DialIn-User, bei denen ich mich beeilen muss, lasse ich mir doch ganz bewusst viiiiel Zeit, um ganz langsam schön nach und nach einen Portscan durchlaufen zu lassen, der sich von fehlenden echo replies nun so gar nicht beeindrucken lässt.

ICMP ist ein wichtiger und sinnvoller Bestandteil der IP Protokollsuite. Es kann mitunter sinnvoll sein, bestimmte ICMP Typen zu blocken, aber echo request und reply gehören nun wirklich nicht dazu.

(Was haben bloß immer alle für ein Problem mit ICMP? DAS ist in den seltensten Fällen Angriffspunkt…)

Gruß,

Malte.

(Was haben bloß immer alle für ein Problem mit ICMP? DAS ist
in den seltensten Fällen Angriffspunkt…)

Ich hatte ja auch nicht gesagt, dass das ein Angriffspunkt ist, sondern vielmehr sowas wie ein Aushängeschild. Antwortet ein Rechner nicht auf einen Ping, könnte man vermuten, dass er nicht da ist. Viele Programme durchlaufen erstmal das Subnet mittels Ping und geben Dir ne Liste aller Rechner, die darauf geantwortet haben. Meine Rechner sind da nicht dabei…

Gruß, Philip

(Was haben bloß immer alle für ein Problem mit ICMP?

Vor vielen Jahren hat mal einer den Begriff ‚ping of death‘ gepraegt. Scheint abzuschrecken.

DAS ist in den seltensten Fällen Angriffspunkt…)

Ich hatte ja auch nicht gesagt, dass das ein Angriffspunkt
ist, sondern vielmehr sowas wie ein Aushängeschild.

Und der Webserver, den Du laufen hast, ist die 3m grosse blinkende Leuchtreklame. Mit einer nakten Frau drauf. Und Freibier.

Antwortet ein Rechner nicht auf einen Ping, könnte man vermuten,
dass er nicht da ist.

Nein, koennte man nicht. Wenn er wirklich nicht da ist, antwortet ein anderer fuer Dich: ‚Der ist nicht da.‘ Mit ICMP.

Viele Programme durchlaufen erstmal das Subnet mittels Ping
und geben Dir ne Liste aller Rechner, die darauf geantwortet
haben.

Definiere bitte ‚viele Programme‘.

ICMP ist nicht boese,
Gruss vom Frank.

Hi,

Ich habe zum Beispiel meine kompletten Server gegen ICMP
geblockt. Sie lassen sich also nicht anpingen (bzw. geben auf
einen Ping kein Echo).

Ich weiss das wohl, dass es solche Server gibt, zB ein Ping auf pop.gmx.net wird nie funktionieren, weil das dort geblockt ist.

Aber Pings auf www.heise.de oder www.t-online.de funktionieren und bringen immer eine Antwort. Nur jetzt eben nicht (es funktioniert wieder nicht mehr):
Ich kann die Seite www.t-online.de aufrufen, aber nicht pingen.
Ich kann die Seite www.heise.de aufrufen, aber nicht pingen.
Sicherlich ist es Euch problemlos möglich, diese Seiten zu pingen.

Pings auf www.spiegel.de funktionieren auch und bringen auch eine Antwort. Es ist also nach wie vor so, dass manche Pings funktionieren und manche nicht.

An der Firewall wurde diesbezüglich nichts verändert. Denn wenn ich einen Ping auf www.spiegel.de mache, bekomme ich auch eine Antwort. Es funktionieren manche Pings und manche nicht.
Irgendwie scheint das doch ein DNS-Problem zu sein?! Und irgendwo scheinen manche Seiten gespeichert zu werden und manche nicht?!

So ist es mir nun auch nicht möglich, Emails über POP abzurufen, es sei denn, ich gebe die IP des POP-Servers (was ja zB für pop.gmx.net nicht funktioniert, da ich hier die IP nicht kenne) an.

Nslookup für heise bringt:
nslookup www.heise.de
Note: nslookup is deprecated and may be removed from future releases.
Consider using the dig' or host’ programs instead. Run nslookup with
the `-sil[ent]’ option to prevent this message from appearing.
Server: 192.168.10.20
Address: 192.168.10.20#53

** server can’t find www.heise.de: NXDOMAIN

Ich kapier das wirklich immernoch nicht. Pings über die Firewall sind definitiv nicht gesperrt worden und das Problem besteht nicht nur auf meinem Rechner, sondern auf allen.

Grüsse
schuelsche

Ich habe zum Beispiel meine kompletten Server gegen ICMP
geblockt. Sie lassen sich also nicht anpingen (bzw. geben auf
einen Ping kein Echo).

Aha. Und was bringt das?

Ping wird eben häufig von bösen Jungs benutzt,
um sich überhaupt erstmal einen Überblick zu verschaffen,
welche Rechner im Subnet erreichbar sind.

Nein, Ping wird von mir benutzt, um mir einen Überblick zu verschaffen, und ich bin keine böser Bube.

Es sei denn, er weiss, dass der
Rechner da sein muss. (Weil er ihn über den Browser entdeckt
hat…)

Na klar weiß ich das. Wenn nämlich überhaupt keine Antwort mehr aus dem Netz kommt, dann ist ja wohl klar, dass geblockt wird und dann wird es Zeit für den Portscan über die gesamte Range. Und damit finde ich natürlich die offenen Ports und somit auch die Rechner.

Pakete droppen und Ping verbieten macht deine Rechner nicht wirklich sicher.

Stefan

honey, honey, pot?
Hallo,

Ich habe zum Beispiel meine kompletten Server gegen ICMP
geblockt. Also durchaus gängige Praxis bei Servern.

Ja, leider. Einen Sinn kann ich dahinter nicht erkennen.

Netze, aus denen kein Ping zurückkommt, sind oft mit dem „Clue-Decreaser Pro“ adminstriert.

Da lohnt sich eine Suche nach Zielen.

Gruß,

Sebastian

(Was haben bloß immer alle für ein Problem mit ICMP? DAS ist
in den seltensten Fällen Angriffspunkt…)

Ich hatte ja auch nicht gesagt, dass das ein Angriffspunkt
ist, sondern vielmehr sowas wie ein Aushängeschild.

Machst Du auch nachts das Licht vom Auto aus, damit Dich der Geisterfahrer nicht treffen kann?

Sebastian, hinkend

Hallo,

Nslookup für heise bringt:
nslookup www.heise.de
Note: nslookup is deprecated and may be removed from future
releases.
Consider using the dig' or host’ programs instead. Run
nslookup with
the `-sil[ent]’ option to prevent this message from appearing.
Server: 192.168.10.20
Address: 192.168.10.20#53

Was hast Du da für einen Nameserver laufen? Was ist das für ein Rechner?

** server can’t find www.heise.de: NXDOMAIN

Ich kapier das wirklich immernoch nicht. Pings über die
Firewall sind definitiv nicht gesperrt worden und das Problem
besteht nicht nur auf meinem Rechner, sondern auf allen.

Du hast ein Problem im DNS.

Sebastian

Machst Du auch nachts das Licht vom Auto aus, damit Dich der
Geisterfahrer nicht treffen kann?

Auch ein blindes Huhn findet mal ein Korn.

Philip

Hallo,

Was hast Du da für einen Nameserver laufen? Was ist das für
ein Rechner?

W2K Server.

Du hast ein Problem im DNS.

Jep, denke ich mir so langsam auch. Bloss die Frage ist, welches Problem?! Manche Seiten lassen sich pingen, manche nicht… Heute geht zB www.heise.de wieder, aber www.t-online.de immer noch nicht…

Irgendwie echt seltsam…

Grüsse
schuelsche

Hallo,

Was hast Du da für einen Nameserver laufen?

EIne unbeantwortete Frage …

Was ist das für
ein Rechner?

W2K Server.

Mein Beileid.

Du hast ein Problem im DNS.

Jep, denke ich mir so langsam auch. Bloss die Frage ist,
welches Problem?!

Geben denn die Log-Darteien von Deinem DNS-Server Hinweise?

Ich habe keine Ahung, was man so sinnvollerweise auf W2k als DNS-Server einsetzt …)n

Gruß,

Sebastian

Hallo,

Was hast Du da für einen Nameserver laufen?

EIne unbeantwortete Frage …

Es gibt keinen speziellen Nameserver, es ist halt der DNS-Dienst von W2K-Server, der da standardmässig dabei ist.

W2K Server.

Mein Beileid.

Danke
… mir wär anderes auch lieber…

Geben denn die Log-Darteien von Deinem DNS-Server Hinweise?

Ja, schon, aber irgendwie komme ich mit denen nicht weiter:

DNS-Server hat die eigenen Hosteinträge aktualisiert. Es wurde versucht, damit die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren können, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung zu aktualisieren. Dabei ist ein Fehler aufgetreten, die Dateien enthalten den Fehlercode.

Wenn dieser DNS-Server keine verzeichnisdienstintegrierten Peers besitzt, sollte
dieser Fehler ignoriert werden.

Wenn die Replikationspartner des Active Directory für diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, könne sie nicht mit ihm repliz
ieren.

Folgende Schritte ausführen:

1. Suchen sie die Replikationspartner des AD für diesen Server, die den DNS-Server ausführen.
2. Öffnen Sie den DNS-Manager und verbinden Sie sich der Reihe nach mti jedem der Replikationspartner
3. Überprüfen Sie auf jedem der Server die Hostregistrierung (a-Eintrag) für DIESEN Server.
4. Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprec
   hen.
5. Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie…

Tja, zwar für Windows mal eine sehr ausführliche Fehlermeldung, aber für mich irgendwie undurchsichtig, weil ich auch gar nicht weiss, wo ich nach diesen Repliaktionspartnern suchen soll…

Werde wohl nicht umhin kommen - da ich von DNS auf W2KServer ehrlichgesagt überhaupt gar keine Ahnung habe - mich da mal reinzuvertiefen :-/

Grüsse
schuelsche