Torsten667 10 Geschrieben 6. November 2006 Melden Teilen Geschrieben 6. November 2006 Hallo liebes MCSE Board. Ich habe unter Vista die Firewall mit secpol.msc gestartet um dort alle ausgehenden Verbindungen zu blocken und lediglich die von mir gesetzten zu erlauben. Leider komme ich mit diesen Einstellungen weder ins Internet noch kann ich einen Ping verschicken. So komme ich also nicht weiter. Über mögliche Ansätze wäre ich sehr dankbar. Ganz liebe Grüße Torsten667 Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 6. November 2006 Melden Teilen Geschrieben 6. November 2006 zuerst mal die Einstellung rückgänig machen und dann analysieren, welche Anwendung und Ports du benötigst. Zitieren Link zu diesem Kommentar
Torsten667 10 Geschrieben 6. November 2006 Autor Melden Teilen Geschrieben 6. November 2006 Wenn es beim ersten Programm läuft, dann komme ich schon weiter. Also würde ich mit dem Internet Explorer anfangen. Anwendung:...Internet Explorer Port:..............80 Was muss ich jetzt in der Firewall eingeben? Es gibt aus meiner Sicht 2 Möglichkeiten: 1) Ich blocke alles Eingehende (direkt in der Firewall) 2) Ich erlaube keinen Programm rauszurufen (Als Ausnahme definiert) Zu1) das scheint mir der falsche Weg, nachdem was ich bisher zur Firewall gelesen habe. Zu2) Sollte klappen, aber hier benötige ich Hilfe. Zitieren Link zu diesem Kommentar
Bratac 10 Geschrieben 6. November 2006 Melden Teilen Geschrieben 6. November 2006 Hallöchen, Ok ich habe jetzt Vista noch nicht so intensiv getestet. Aber dein Problem basiert nicht rein auf Vista sondern eher generell auf Packetfilter Firewalls. Wie du das dann konfigurieren musst ist Betriebssystem abhängig. Das wichtige ist, das du beim ausgehenden Verkehr den zu erlaubenden ZIEL-Port angiebts, denn jede Client Anwendung wählt sich zufällig oberhalb von 1024 einen Port und nutzt diesen zum Verbindungsaufbau. In deinem Beispiel Internet Explorer. der Port 80 ist nur dann relevant wenn du selbst einen Webserver laufen hast. Darauh lauschen diese nämlich. Ich geb dir mal ein Beispiel was funktionieren müsste: Regel Quell IP-Adresse Ziel IP-Adresse Quell-Port Ziel-Port Aktion ausgehend 10.10.3.0 * * 80 erlauben Zur Eklärung. Regel für den ausgehenden Verkehr. Quell IP-Adresse, da gehört die interne IP-Adresse des Netzwerkes rein oder wenn lokal dann im Falle einer statischen IP, diese. Ziel IP-Adresse wird mit * gekennzeichnet, bezeichnet normalerweise alle Adressen, ebenso Quellport. Und da du Explizit http freigeben willst wählst du als Zielport 80 aus. Bitte Bedenke das die Konfiguration und auch die Syntax von Programm zu Programm unterschiedlich ist. Ich hoffe ich konnte dir hiermit weiter helfen. MfG Bert Zitieren Link zu diesem Kommentar
Torsten667 10 Geschrieben 6. November 2006 Autor Melden Teilen Geschrieben 6. November 2006 Vielen Dank für Deine Mühe. Ich versuche vielleicht einmal zu beschreiben, was man angeben kann. Das Vorgehen welches du vorschlägst, hat dabei leider nicht geholfen: 1) Regeltyp: Programm, Port, Vordefiniert (z.B. BITS Peercaching), benutzerdefiniert Da wähle ich das Programm IE. 2) Verbindungstyp: Verbindung zulassen, Zulassen wenn Sicher ist, Blocken Da wähle ich zulassen. 3) Wann wird die Regel angewendet: Domäne, Privat, Öffentlich Da wähle ich alle drei. Wenn ich die Regel eingerichtet habe, dann kann ich weitere Feinheiten definieren: 1. Ich kann angeben auf welche Dienste ich dies beschränken möchte. Das lasse ich offen. 2. Autorisierte Computer. Das lasse ich offen. Damit sollte es zu allen Rechnern funktionieren. 3. Protokoll und Ports Typ (TCP, UDP,...) und Port lasse ich offen, damit sollten alle Typen und Ports funktionieren. 4. Bereich Lokal/Remote Beides lasse ich auf Beliebige IP stehen. 5. Profile und Schnittstellen. Auch dies lasse ich offen, damit alles unterstützt wird. Diese Regel kommt natürlich erst zum Tragen, wenn ich vorher allen Programmen den Zugriff verweigere. Ich denke das Problem liegt eher bei Vista, welches die Regeln nicht richtig verwaltet. Wenn ich alle Programme blocke und später eine Freigabe erlaube, so ist Vista nicht flexible genug, diese zu gestatten. Ich hoffe ich habe alles deutlich genug geschildert, damit ihr damit was anfangen könnt. Sehr hilfreich wäre, wenn schon mal jemand so etwas eingerichtet hätte. Vielleicht habe ich ja nur irgendwo ein Häkchen übersehen. Zitieren Link zu diesem Kommentar
Torsten667 10 Geschrieben 6. November 2006 Autor Melden Teilen Geschrieben 6. November 2006 Anbei einmal ein Screenshot, wie es bei mir aussieht. Ich bin zu einer einfacheren Aufgabe übergegangen. Alles Blocken und einen Ping hinbekommen. Noch klappt es nicht. Kann jetzt jemand helfen? Zitieren Link zu diesem Kommentar
Bratac 10 Geschrieben 18. Dezember 2006 Melden Teilen Geschrieben 18. Dezember 2006 Hallo, entschuldige bitte das ich solange nichts von mir hab hören lassen. Ah ich weiß worauf du hinaus willst. Du hast das schon richtig erkannt mit der richtigen Reihenfolge der Regeln in der Vista Firewall. Ich hab mir mal die Hilfe dazu angesehen. Die Regel alles Blocken ist in Vista die Regel, die alles andere außer Kraft setzt. Bei reinen Packtefilter Firewalls (z.B.: iptables) kann man die Reihenfolge der abarbeitung einer Regel festlegen. unter Vista geht dies aber nicht. Nachfolgend ein Auszug aus der Windows Hilfe: Firewallregeln werden nach folgender Rangfolge angewendet: Authentifizierte Umgehung (d.h. Regeln, die Regeln zum Blocken außer Kraft setzen) Verbindung blocken Verbindung zulassen Standardprofilverhalten (Verbindung nach der Angabe auf der Registerkarte Profil des Dialgofelds Eigenschaften der Windows-Firewall mit erweiterter Sicherheit zulassen bzw. blocken) Das mit der authentifizierten Umgehung habe ich noch nicht hinbekommen, meld mich aber wenn ich geschafft hab. Ich hoffe ich konnte dir etwas klarheit verschaffen. MfG Bert Zitieren Link zu diesem Kommentar
tlausl 10 Geschrieben 24. Dezember 2006 Melden Teilen Geschrieben 24. Dezember 2006 Hallo, da ich auf eine Firewall die unter Vista läuft warten muss, habe ich mich heute mal mit der Vista Firewall beschäftigt. Auch beim Ping hab ich da so meine Probleme, es geht nur wenn ich aus der Programmregel eine, ich nenne es mal, Systemregel mache. Beim Browser (Opera) allerdings geht die Sache reibungslos. Wobei ich hier im Hintergrund natürlich einen Virenscanner (Avast) laufen habe, der auch die eine oder andere Regel braucht. Den IE hab ich spasseshalber mal eingerichtet, dieser tut nun auch seinen Dienst. Dazu habe ich aber schon im Vorfeld einige Regeln angelegt: Systemregel für DHCP, jeweils ein - und ausgehend TCP localport 68 - remote port 67 Systemregel für DNS, jeweils ein - und ausgehend TCP localport beliebig - remoteport 53 Programmregel Opera: TCP localport beliebig, remoteport 80 ausgehend Localhost Verbindung: TCP Host 127.0.0.1 eingehend HTTP Verbindung für Avast: (ashwebsv.exe) TCP remoteport 80 ausgehend und damit rennt bei mir die Sache. Gruß und frohe Weihanchten tlausl Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.