pablovschby 10 Geschrieben 3. März 2003 Melden Teilen Geschrieben 3. März 2003 Hallo Den integrierten TCP/IP-Filter in W2k habe ich mal ausgeteestet... bezieht sich auf: Rechte Maus auf NW-Umgebung->Eigenschaften>rechtemaus auf laconnection>>doppelklick auf tcp/ip>>advanced>>options>>properties.... ...naja, vielleicht versteh ich diesen filter falsch, ..... also... tcp>>>permit ONLY>>port 80 udp>>>permit ONLY>>port 80 neu gestartet...und dann... ...konnte ich nicht mehr aufs internet...obwohl dies als einziges erlaubt ist... dafür bekam ich über die GESCHLOSSENEN dhcp-ports eine dhcp-ip... des weiteren konnte ich über die GESCHLOSSENEN PING-PORTS INTERN unsere server pingen.... aber aufs i-net konnte ich nichts pingen.... kann mir jemand von euch die Logik, die hinter dem in w2k eingebautem TCP/IP-Filter steht, ERKLÄREN...``??? wieso ist das so??? die einzige firewall, die verbietet, was man freischaltet, oder wie...? und freischaltet, was man verbietet....komische sache... tcp>>>permit ONLY>>port 80 udp>>>permit ONLY>>port 80 hab ich eingestellt....und dann geht der port 80 NICHT, dafür aber ALLE ANDEREN...... die eigentlich gesperrt sein müssten... gruss&merci pablo Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. März 2003 Melden Teilen Geschrieben 3. März 2003 Schon eine verquerte Sache die IP-Filter, aber im Prinzip ganz einfach: Diese IP-Filter sind sozusagen der Vorgänger der Internetverbindungsfirewall von XP. Wenn man diese Filter einschaltet, regelt man, welche EINGEHENDEN Ports auf diesem Rechner freigeschaltet sind, also, ob jemand von aussen den Port XY ansprechen kann. Diese Filter regeln in keiner Weise den ausgehenden Verkehr, nur den eingehenden. Desweiteren: Wenn man TCP oder UDP-Ports filtert, ist der ping davon nicht betroffen, denn benutzt weder TCP oder UDP sondern nur ICMP und IP. Um diese eingehenden Pakete zu filtern, dient dann die dritte Spalte. Und was den Filtern noch wichtig ist: obwohl man sie an einer der Verbindungnen einstellt, gelten sie nachher für alle Verbindungen; kommt aber beim Aktivieren auch eine entsprechende Meldung Gruß grizzly999 Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 5. März 2003 Autor Melden Teilen Geschrieben 5. März 2003 also, demnach müsste also nur der port 80 von aussen offen sein, wenn ich sage... ...tcp, udp & ip ----> permit only Port 80 dem ist aber nicht so. im internet explorer hab ich keine verbindung aufs inet... (dies ist als einziges erlaubt...) dafür kann ich aber alle seiten (http://www.altavista.com) schön pingen, was NICHT ERLAUBT ist... denn mein pc bekommt auch mit den ganz oben erwähnten einstellungen einen ping zurückgeschickt.... das dürfte nicht gehen... ...ausserdem müsste meine dhcp-ws eine anfrage für eine dhcp-ip abschicken, jedoch KEINE Antwort empfangen...da ja NUR der port 80 offen ist... (auf tcp, udp&ip) kann man sich dies irgendwie erklären...? gruss&merci pablo Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 5. März 2003 Autor Melden Teilen Geschrieben 5. März 2003 @grizzly666: nicht, oder...? gruss Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 5. März 2003 Autor Melden Teilen Geschrieben 5. März 2003 kann man sich dies irgendwie erklären...? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. März 2003 Melden Teilen Geschrieben 5. März 2003 Also alles bis auf erste kann erklärt werden: Wenn tcp --> permit port 80 only eingerichtet ist, müsste der Connect von der WS ins Internet klappen, außer irgend ein anderer Filter an anderer Stelle verhindert dies. Muss ich aber mal überprüfen, ob ich das reproduzieren kann. Für die anderen Fälle gilt: eingehende Antowortpakete auf ausgesendete Anfragen (ping, DHCP, DNS etc) werden natürlich reingelassen. Die Portfilterung filtert nur "neue Connectversuche" auf die entsprechenden Ports von aussen auf diesen Rechner raus. grizzly999 Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 5. März 2003 Autor Melden Teilen Geschrieben 5. März 2003 hi grizzly.... merci vielmal --- Für die anderen Fälle gilt: eingehende Antowortpakete auf ausgesendete Anfragen (ping, DHCP, DNS etc) werden natürlich reingelassen. Die Portfilterung filtert nur "neue Connectversuche" auf die entsprechenden Ports von aussen auf diesen Rechner raus. --- das ist logisch, danke... c'est clair alors... -->aber andere firewalls machen das nicht so, oder...? (npf und co) --- Also alles bis auf erste kann erklärt werden: Wenn tcp --> permit port 80 only eingerichtet ist, müsste der Connect von der WS ins Internet klappen, außer irgend ein anderer Filter an anderer Stelle verhindert dies. Muss ich aber mal überprüfen, ob ich das reproduzieren kann. --- also ich habe da absolut keine anderen filter oder firewalls drinnen, die das verhindern.... vielleicht: wenn der port erlaubt ist, wird er nur geöffnet, wenn KEINE anfrage vom lokalem system aufs internet erfolgt. --->dies wäre aber sehr unbegreiflich und trifft (fast) sicher nicht zu. gruss&merci pablo Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. März 2003 Melden Teilen Geschrieben 5. März 2003 -->aber andere firewalls machen das nicht so, oder...? (npf und co) Doch das machen viele Firewalls so. Eine Anwendung, z.B. ein Webbrowser benötigt eine Antwort auf einem bestimmten Port. Für die wenigsten Anwendungen sind aber bestimmte Antwortports vordefiniert, so dass sich die Anwendung einen beliebig freien Port zwischen 1024 und 65536 krallt. Damit müsste man für die Antwortpakete den ganzen Range von 1024-65536 aufmachen, weil ich ja nicht weiss, welchen Antwortport nimmt sich der Browser jetzt, welchen nacher, welchen morgen. Raptor z.B. wird auf diese Weise konfiguriert. Andere Firewalls, wie ISA-Server oder aber auch diese Primitiv-Firewall, genannt TCP-Filter bei W2k oder XP, die machen die Antwortports dynamisch auf, d.h. ich muss keinen Antwortport und auch keinen Bereich von Antwortports konfigurieren. Die erkennen, ob das aussen ankomende Paket eine Antwort auf eine Anforderung ist und lassen es durch, oder ob es ein neuer Connect von aussen ist. Habe übrigens gerade im Moment als TCP-Filter "Zulassen nur Port 80 TCP" eingestellt, und schreibe hier. Kann also dein Phänomen nicht reproduzieren => ?????? über meinem Haupt. grizzly999 Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 6. März 2003 Autor Melden Teilen Geschrieben 6. März 2003 danke vielmals für die ausführliche antwort.... gruss Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.