Pregunta DNS interno con log raro

Muy normal no parece. Te recomendaría antes de nada no tener abierto el
puerto 137, ni el 139 ni el 161 por UDP, a no ser que sea extrictamente
necesario.

¿Tienes configurado algún parámetro de seguridad, firewall, protecciones
DoS, etc...?


Daniel Ríos
http://www.danielrios.net



"luis" escribió en el mensaje
news:

Hola
Tengo una consulta y agradezco de antemano sus respuestas.
Tengo un Servidor de dominio (DNS+Active Drectory) con un nombre de
dominio
para uso interno, ese nombre no lo tengo registrado para usarlo en la
internet ni es mi intencion hacerlo.
La duda que tengo es si tengo que hacer algo adicional para que esto sea
asi, pues revisando el router he visto los sihuientes datos en el log:

Protocol State Destination Address WAN Address Local
Address
TCP SYN Sent 192.168.149.1:1816 190.41.29.26:139 192.168.1.10:139
TCP SYN Sent 192.168.18.253:1815 190.41.29.26:139 192.168.1.10:139
UDP Closed 192.168.18.13:137 190.41.29.26:137 192.168.1.10:137
UDP Closed 192.168.18.251:137 190.41.29.26:137
192.168.1.10:137

Y buscando en internet mecianan que la direccion de destino es algo
relacionado a IANA org pero no se si debo hacer algo o es normal este log.

Gracias

El servicio DNS no utiliza esos puertos; los que pones son de NetBIOS

Y la dirección donde está tratando de conectarse tampoco tienen que ver con
servidores del dominio raíz. Lo que tiene que ver con IANA es sólo la
asignación.

La dirección a la que está tratando de conectarse es de Perú.

Pego la información de búsqueda

-
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-03-21 08:14:41 (BRT -03:00)

inetnum: 190.41.29.0/25
status: reallocated
owner: PE-TDPERX8-LACNIC
ownerid: PE-PETD12-LACNIC
responsible: TELEFONICA DEL PERU
address: Av San Felipe 1144 Surquillo, 1144,
address: 00023 - LIMA -
country: PE
phone: +51 1 2106771 [6771]
owner-c: GRT2
tech-c: GRT2
abuse-c: GRT2
created: 20060929
changed: 20060929
inetnum-up: 190.41.28/23
inetnum-up: 190.41.0/17

nic-hdl: GRT2
person: Gestion Dir. IP Telefónica del Perú
e-mail:
address: Calle San Felipe 1144, 1144,
address: LI34 - Lima - LI
country: PE
phone: +51 1 2106771 []
created: 20021204
changed: 20030923

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.




Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"luis" wrote in message
news:

Hola
Tengo una consulta y agradezco de antemano sus respuestas.
Tengo un Servidor de dominio (DNS+Active Drectory) con un nombre de
dominio
para uso interno, ese nombre no lo tengo registrado para usarlo en la
internet ni es mi intencion hacerlo.
La duda que tengo es si tengo que hacer algo adicional para que esto sea
asi, pues revisando el router he visto los sihuientes datos en el log:

Protocol State Destination Address WAN Address Local
Address
TCP SYN Sent 192.168.149.1:1816 190.41.29.26:139 192.168.1.10:139
TCP SYN Sent 192.168.18.253:1815 190.41.29.26:139 192.168.1.10:139
UDP Closed 192.168.18.13:137 190.41.29.26:137 192.168.1.10:137
UDP Closed 192.168.18.251:137 190.41.29.26:137
192.168.1.10:137

Y buscando en internet mecianan que la direccion de destino es algo
relacionado a IANA org pero no se si debo hacer algo o es normal este log.

Gracias

__________ Information from ESET NOD32 Antivirus, version of virus
signature database 3953 (20090321) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com

__________ Information from ESET NOD32 Antivirus, version of virus signature database 3953 (20090321) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com

Gracias Daniel y Guillermo por sus respuestas.
Daniel en el Servidor no tengo configurado nada de lo que mencionas solo
esta el firewall de windows pero lo desactive para que no existan problemas a
la hora que los usuarios validen pero si es mejor tenerlo activado te
agradeceria me digas que habilitar para que los usuarios validen sin
problemas.
¿Es valido usar un antivirus en el servidor? porque hace mucho lei que no
era necesario.
¿Como cierro el puerto UDP 161?
Guillermo la direccion WAN que mencionas es de Peru es la mia 190.41.29.26
lo que veia raro es que se dirigian a 192.168.149.1:1816. La direccion
interna de mi servidor es 192.168.1.10
En este servidor en la tarjeta de red a parte del protocolo TCP/IP que ya
tenia, instale hace mucho el protocolo NW Link IPX/SPX/NetBIOS Compatible
Transport Protocol para mejorar la comunicacion, ¿estuvo bien hacerlo o es
mejor desinstalarlo?
Este servidor hace forward a los DNS del nuestro ISP para que los usuarios
naveguen sin problemas.
Espero porfavor sus respuestas para poder solucionar este tema.

Gracias


"Guillermo Delprato [MS-MVP]" wrote:

El servicio DNS no utiliza esos puertos; los que pones son de NetBIOS

Y la dirección donde está tratando de conectarse tampoco tienen que ver con
servidores del dominio raíz. Lo que tiene que ver con IANA es sólo la
asignación.

La dirección a la que está tratando de conectarse es de Perú.

Pego la información de búsqueda

-
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-03-21 08:14:41 (BRT -03:00)

inetnum: 190.41.29.0/25
status: reallocated
owner: PE-TDPERX8-LACNIC
ownerid: PE-PETD12-LACNIC
responsible: TELEFONICA DEL PERU
address: Av San Felipe 1144 Surquillo, 1144,
address: 00023 - LIMA -
country: PE
phone: +51 1 2106771 [6771]
owner-c: GRT2
tech-c: GRT2
abuse-c: GRT2
created: 20060929
changed: 20060929
inetnum-up: 190.41.28/23
inetnum-up: 190.41.0/17

nic-hdl: GRT2
person: Gestion Dir. IP Telefónica del Perú
e-mail:
address: Calle San Felipe 1144, 1144,
address: LI34 - Lima - LI
country: PE
phone: +51 1 2106771 []
created: 20021204
changed: 20030923

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.




Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"luis" wrote in message
news:
> Hola
> Tengo una consulta y agradezco de antemano sus respuestas.
> Tengo un Servidor de dominio (DNS+Active Drectory) con un nombre de
> dominio
> para uso interno, ese nombre no lo tengo registrado para usarlo en la
> internet ni es mi intencion hacerlo.
> La duda que tengo es si tengo que hacer algo adicional para que esto sea
> asi, pues revisando el router he visto los sihuientes datos en el log:
>
> Protocol State Destination Address WAN Address Local
> Address
> TCP SYN Sent 192.168.149.1:1816 190.41.29.26:139 192.168.1.10:139
> TCP SYN Sent 192.168.18.253:1815 190.41.29.26:139 192.168.1.10:139
> UDP Closed 192.168.18.13:137 190.41.29.26:137 192.168.1.10:137
> UDP Closed 192.168.18.251:137 190.41.29.26:137
> 192.168.1.10:137
>
> Y buscando en internet mecianan que la direccion de destino es algo
> relacionado a IANA org pero no se si debo hacer algo o es normal este log.
>
> Gracias

Hola Luis,

Respondiendo a tus preguntas:
¿Es valido usar un antivirus en el servidor? Por supuesto. Siempre es
importante tener un agente de antviitus instalado en un server, sobretodo si
este también detecta intentos de intrusión, archivos infectados, etc. Date
cuenta que, aunque un virus no entre directamente a un server, este puede
llevar al servidor a través de un puesto de trabajo.

¿Como cierro el puerto UDP 161? Debes de cerrarlo directamente en el router
que te da salida a Internet, es lo recomendable.

Los puertos 137 y 139 los habiiltas o deshabilitas en la propia tarjeta de
red, auque eso te puede dar problemas de comunicación interna, también
puedes cerrarlos en el router de acceso a Internet para que la comunicación
por esos puertos no sea publica.

Daniel Ríos
http://www.danielrios.net





"luis" escribió en el mensaje
news:

Gracias Daniel y Guillermo por sus respuestas.
Daniel en el Servidor no tengo configurado nada de lo que mencionas solo
esta el firewall de windows pero lo desactive para que no existan
problemas a
la hora que los usuarios validen pero si es mejor tenerlo activado te
agradeceria me digas que habilitar para que los usuarios validen sin
problemas.
¿Es valido usar un antivirus en el servidor? porque hace mucho lei que no
era necesario.
¿Como cierro el puerto UDP 161?
Guillermo la direccion WAN que mencionas es de Peru es la mia 190.41.29.26
lo que veia raro es que se dirigian a 192.168.149.1:1816. La direccion
interna de mi servidor es 192.168.1.10
En este servidor en la tarjeta de red a parte del protocolo TCP/IP que ya
tenia, instale hace mucho el protocolo NW Link IPX/SPX/NetBIOS Compatible
Transport Protocol para mejorar la comunicacion, ¿estuvo bien hacerlo o es
mejor desinstalarlo?
Este servidor hace forward a los DNS del nuestro ISP para que los usuarios
naveguen sin problemas.
Espero porfavor sus respuestas para poder solucionar este tema.

Gracias


"Guillermo Delprato [MS-MVP]" wrote:

El servicio DNS no utiliza esos puertos; los que pones son de NetBIOS

Y la dirección donde está tratando de conectarse tampoco tienen que ver
con
servidores del dominio raíz. Lo que tiene que ver con IANA es sólo la
asignación.

La dirección a la que está tratando de conectarse es de Perú.

Pego la información de búsqueda

-
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-03-21 08:14:41 (BRT -03:00)

inetnum: 190.41.29.0/25
status: reallocated
owner: PE-TDPERX8-LACNIC
ownerid: PE-PETD12-LACNIC
responsible: TELEFONICA DEL PERU
address: Av San Felipe 1144 Surquillo, 1144,
address: 00023 - LIMA -
country: PE
phone: +51 1 2106771 [6771]
owner-c: GRT2
tech-c: GRT2
abuse-c: GRT2
created: 20060929
changed: 20060929
inetnum-up: 190.41.28/23
inetnum-up: 190.41.0/17

nic-hdl: GRT2
person: Gestion Dir. IP Telefónica del Perú
e-mail:
address: Calle San Felipe 1144, 1144,
address: LI34 - Lima - LI
country: PE
phone: +51 1 2106771 []
created: 20021204
changed: 20030923

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.




Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"luis" wrote in message
news:
> Hola
> Tengo una consulta y agradezco de antemano sus respuestas.
> Tengo un Servidor de dominio (DNS+Active Drectory) con un nombre de
> dominio
> para uso interno, ese nombre no lo tengo registrado para usarlo en la
> internet ni es mi intencion hacerlo.
> La duda que tengo es si tengo que hacer algo adicional para que esto
> sea
> asi, pues revisando el router he visto los sihuientes datos en el log:
>
> Protocol State Destination Address WAN Address Local
> Address
> TCP SYN Sent 192.168.149.1:1816 190.41.29.26:139
> 192.168.1.10:139
> TCP SYN Sent 192.168.18.253:1815 190.41.29.26:139
> 192.168.1.10:139
> UDP Closed 192.168.18.13:137 190.41.29.26:137
> 192.168.1.10:137
> UDP Closed 192.168.18.251:137 190.41.29.26:137
> 192.168.1.10:137
>
> Y buscando en internet mecianan que la direccion de destino es algo
> relacionado a IANA org pero no se si debo hacer algo o es normal este
> log.
>
> Gracias

Tener más de un protocolo de red, no sólo no mejora la comunicación, sino
que la empeora.
En este momento el único justificativo para tener NWLink es si necesitas
conectividad con servidores Netware
Si no es por esto último quita ese protocolo y deja sólo TCP/IP

Pienso que el problema lo tienes justamente por eso


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"luis" wrote in message
news:

Gracias Daniel y Guillermo por sus respuestas.
Daniel en el Servidor no tengo configurado nada de lo que mencionas solo
esta el firewall de windows pero lo desactive para que no existan
problemas a
la hora que los usuarios validen pero si es mejor tenerlo activado te
agradeceria me digas que habilitar para que los usuarios validen sin
problemas.
¿Es valido usar un antivirus en el servidor? porque hace mucho lei que no
era necesario.
¿Como cierro el puerto UDP 161?
Guillermo la direccion WAN que mencionas es de Peru es la mia 190.41.29.26
lo que veia raro es que se dirigian a 192.168.149.1:1816. La direccion
interna de mi servidor es 192.168.1.10
En este servidor en la tarjeta de red a parte del protocolo TCP/IP que ya
tenia, instale hace mucho el protocolo NW Link IPX/SPX/NetBIOS Compatible
Transport Protocol para mejorar la comunicacion, ¿estuvo bien hacerlo o es
mejor desinstalarlo?
Este servidor hace forward a los DNS del nuestro ISP para que los usuarios
naveguen sin problemas.
Espero porfavor sus respuestas para poder solucionar este tema.

Gracias


"Guillermo Delprato [MS-MVP]" wrote:

El servicio DNS no utiliza esos puertos; los que pones son de NetBIOS

Y la dirección donde está tratando de conectarse tampoco tienen que ver
con
servidores del dominio raíz. Lo que tiene que ver con IANA es sólo la
asignación.

La dirección a la que está tratando de conectarse es de Perú.

Pego la información de búsqueda

-
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-03-21 08:14:41 (BRT -03:00)

inetnum: 190.41.29.0/25
status: reallocated
owner: PE-TDPERX8-LACNIC
ownerid: PE-PETD12-LACNIC
responsible: TELEFONICA DEL PERU
address: Av San Felipe 1144 Surquillo, 1144,
address: 00023 - LIMA -
country: PE
phone: +51 1 2106771 [6771]
owner-c: GRT2
tech-c: GRT2
abuse-c: GRT2
created: 20060929
changed: 20060929
inetnum-up: 190.41.28/23
inetnum-up: 190.41.0/17

nic-hdl: GRT2
person: Gestion Dir. IP Telefónica del Perú
e-mail:
address: Calle San Felipe 1144, 1144,
address: LI34 - Lima - LI
country: PE
phone: +51 1 2106771 []
created: 20021204
changed: 20030923

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.




Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"luis" wrote in message
news:
> Hola
> Tengo una consulta y agradezco de antemano sus respuestas.
> Tengo un Servidor de dominio (DNS+Active Drectory) con un nombre de
> dominio
> para uso interno, ese nombre no lo tengo registrado para usarlo en la
> internet ni es mi intencion hacerlo.
> La duda que tengo es si tengo que hacer algo adicional para que esto
> sea
> asi, pues revisando el router he visto los sihuientes datos en el log:
>
> Protocol State Destination Address WAN Address Local
> Address
> TCP SYN Sent 192.168.149.1:1816 190.41.29.26:139
> 192.168.1.10:139
> TCP SYN Sent 192.168.18.253:1815 190.41.29.26:139
> 192.168.1.10:139
> UDP Closed 192.168.18.13:137 190.41.29.26:137
> 192.168.1.10:137
> UDP Closed 192.168.18.251:137 190.41.29.26:137
> 192.168.1.10:137
>
> Y buscando en internet mecianan que la direccion de destino es algo
> relacionado a IANA org pero no se si debo hacer algo o es normal este
> log.
>
> Gracias

__________ Information from ESET NOD32 Antivirus, version of virus
signature database 3957 (20090324) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com

__________ Information from ESET NOD32 Antivirus, version of virus signature database 3957 (20090324) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com