www.mikrocontroller.net

Forum: Offtopic Wieso wird das von der Firewall geblockt?


Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Irgendwie steig ich hier nicht dahinter, ich würde gerne etwas freigeben 
und die Firewall blockt es durch die letzte Regel (Block all other 
pakets) trotzdem.

Auf dem Bild sieht man die ganzen Daten des Pakets das geblockt wird
Quelle = Laptop
Ziel = Router
Protokoll = UDP
Port 137

Autor: Thomas O. (kosmos)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
das ist die Regel die das ganze erlauben soll.

Autor: Thomas O. (kosmos)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
und das die bestätigung das es geblockt wurde obwohl es ja ne 
Filterregel gibt die das erlauben soll.

Autor: Thomas O. (kosmos)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
beim ersten Beitrag wurde das Bild nicht angenommen, Beitrag bearbeiten 
hilft auch nichts, deswegen füge ich es hier nochmal an.

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Du hast die MAC-Adresse ff:ff::ff (mies abgekürzt, ich weiß) als Ziel 
angegeben. Das klappt nur, wenn das Paket auch an Broadcast ging. Die 
Antwort kommt dann natürlich nicht an, weil die von einem Rechner kommt.

Personal Firewalls sind übrigens böse:
www.dingens.org

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
dachte ich verwende die MAC Adresse, da ich sonst bei jedem Router neue 
Regeln mit geänderten IPs erstellen muss. Es hilft also nur statt der 
MAC 192.168.2.255 einzutragen oder kann ich das weiter einschränken?

Ich nutze die Personal Firewall um einige Programme davon abzuhalten 
nach Hause zu telefonieren. Außderdem möchte ich nicht für verschiedene 
Ordner unterschiedliche Freigaben erstellen sondern erlaube einfach 
diejenigen Rechner per Firewall auf die nötigen Ports zuzugreifen also 
137-138 und 445.

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Thomas O. wrote:
> dachte ich verwende die MAC Adresse, da ich sonst bei jedem Router neue
> Regeln mit geänderten IPs erstellen muss. Es hilft also nur statt der
> MAC 192.168.2.255 einzutragen oder kann ich das weiter einschränken?

Äh - 192.168.2.255 ist in einem Standard-Netzwerk die Broadcast-Adresse.

Was du meinst ist wohl 192.168.2.0/24 , also das ganze 192.168.2.x-Netz.

Das ist was ganz anderes, weil damit plötzlich alle Unicast-Verbindungen 
in das Netz gemeint sind und nicht nur einzelne Broadcasts (in nur eine 
Richtung)

> Ich nutze die Personal Firewall um einige Programme davon abzuhalten
> nach Hause zu telefonieren.

Dir ist schon klar, dass man das trotzdem kann, oder?

Ist natürlich brutal, wenn das eine seriöse Software täte, aber 
Sicherheit bietet das Zeugs so nicht.

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ach, das Dingen sperrt die Netbios-Broadcast-Anfrage/Announcement von 
Anjas Rechner.

Tja. Da wirst du wohl bei deiner Regel einfach Quelle und Ziel 
vertauschen müssen, da das Paket ja aus dem Netz kommt und zu deinem 
Rechner durchdringen will.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
irgendwie komisch das die PC Firewall Verbindungen anzeigt bzw. blockt 
die zwischen Laptop und Router stattfinden, so sieht es zumindestens 
laut den Paketdaten aus.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
werds gleich mal probieren, danke

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
NEIN, Anjas PC schickt das Paket los. Als Zieladresse ist die 
Broadcast-Adresse angegeben.

Wenn dein Router die IP .255 hat, würde ich mir über deine Netzconfig 
Gedanken machen, weil die .255 eigentlich so etwas wie eine Broadcast-IP 
ist. Klappt aber wahrscheinlich trotzdem.


Das Problem an den Personal Firewalls ist (nicht bös gemeint), dass die 
mit vernünftigen EInstellmöglichkeiten von den Meisten nicht bedient 
werden können, diese dann aber alles soweit aufmachen, bis es geht und 
sich damit, trotz eines sicheren Gefühls, Scheunentore in die Config 
gerissen haben.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Karl-heinz Strunk: Danke das wars. Ich dachte das ganze wird zum Router 
geschickt, deswegen war ich auch so verwundert das es die Firewall auf 
dem PC mitloggt.

Wie meinst du das das man es trotzdem kann. Die Firewall erkennt die 
Protokolltreiber( z.B. TCPIP.SYS, NETBT.SYS...) und auch die 
Bibliotheken die sich dann daran versuchen. Solange also kein Trojaner 
auf dem Rechner ist sollte das gut funktionieren.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Das Problem an den Personal Firewalls ist (nicht bös gemeint), dass die
> mit vernünftigen EInstellmöglichkeiten von den Meisten nicht bedient
> werden können, diese dann aber alles soweit aufmachen, bis es geht und
> sich damit, trotz eines sicheren Gefühls, Scheunentore in die Config
> gerissen haben.

Das trifft zu, zumal viele "personal firewalls" sich durch eine 
grauenerregend schlechte Oberfläche auszeichnen. Dennoch ist eine 
"personal firewall" eine sinnvolle Einrichtung, wenn diese auf 
Anwendungsebene ausgehenden Netzwerkverkehr filtern kann.
Ein schönes Beispiel für eine nur für ausgehenden Verkehr zuständige 
Firewall ist auf dem Mac die "kleene Petze" LittleSnitch, die übrigens 
von denselben Leuten gebaut wird wie ein bekannter AVR-SoftUSB-Stack.

Manche Software überträgt ungefragt irgendwelche Daten nach "außen", sei 
es als prinzipiell vorgesehene Funktion oder als durch andere Programme 
hinzugefügte Schadfunktion. Oder auch einfach nur als 
"Nach-Hause-Telephonieren", aus welchen Gründen auch immer.

Naja, und das abblocken zu können ist schon ganz reizvoll.


Um einen Rechner gegen eingehenden Netzwerkverkehr abzuschotten ist es 
immer ratsam eine externe Lösung zu verwenden; ein NAT-Router ist da 
ein einfaches und kostengünstiges Mittel.

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus t. Firefly wrote:
> Manche Software überträgt ungefragt irgendwelche Daten nach "außen", sei
> es als prinzipiell vorgesehene Funktion oder als durch andere Programme
> hinzugefügte Schadfunktion.

Eben hier hilft die Firewall nicht.

Da gibts diverse ProofOfConcepts. Geht los, dass viele der 
Konfig-Oberflächen mit Systemrechten arbeiten und man sie dadurch als 
Fernsteuersoftware zum rekonfigurieren der Firewall nutzen kann.

Die Tatsache, dass die 'Firewall' Systemtreiber erkennt, heißt nur, dass 
diese Treiber sich nicht verstecken.

http://ulm.ccc.de/PersonalFirewalls

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> > Manche Software überträgt ungefragt irgendwelche Daten nach "außen", sei
> > es als prinzipiell vorgesehene Funktion oder als durch andere Programme
> > hinzugefügte Schadfunktion.
>
> Eben hier hilft die Firewall nicht.

Naja, wirklich boshafte Schadsoftware kann die FW deaktivieren, aber 
welchen anderen Weg als den einer "application state firewall" kann man 
verwenden, wenn man möchte, daß nur das Programm ABC ausgehenden Traffic 
auf Port 80 erzeugen darf, das Programm XYZ aber auf gar keinen Fall?

Autor: Karl-heinz Strunk (cletus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus t. Firefly wrote:
>> > Manche Software überträgt ungefragt irgendwelche Daten nach "außen", sei
>> > es als prinzipiell vorgesehene Funktion oder als durch andere Programme
>> > hinzugefügte Schadfunktion.
>>
>> Eben hier hilft die Firewall nicht.
>
> Naja, wirklich boshafte Schadsoftware kann die FW deaktivieren, aber
> welchen anderen Weg als den einer "application state firewall" kann man
> verwenden, wenn man möchte, daß nur das Programm ABC ausgehenden Traffic
> auf Port 80 erzeugen darf, das Programm XYZ aber auf gar keinen Fall?

Man könnte die Zieladressen sperren. Entweder auf dem Router, oder per 
Windows-IPsec Richtlinie (die gelten nicht nur für IPSec).

Wie schon gesagt, gegen Schadsoftware hilfts nicht. Aber die Diskussion 
ist müßig, siehe de.comp.security.*

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Yahoo-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.