Jump to content

integr. TCP/IP-Filter in W2k .... was für eine Logik....haha


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo

 

Den integrierten TCP/IP-Filter in W2k habe ich mal ausgeteestet...

 

bezieht sich auf: Rechte Maus auf NW-Umgebung->Eigenschaften>rechtemaus auf laconnection>>doppelklick auf tcp/ip>>advanced>>options>>properties....

 

...naja, vielleicht versteh ich diesen filter falsch, .....

 

also...

 

tcp>>>permit ONLY>>port 80

udp>>>permit ONLY>>port 80

 

neu gestartet...und dann...

 

...konnte ich nicht mehr aufs internet...obwohl dies als einziges erlaubt ist...

 

dafür bekam ich über die GESCHLOSSENEN dhcp-ports eine dhcp-ip...

 

des weiteren konnte ich über die GESCHLOSSENEN PING-PORTS INTERN unsere server pingen....

 

aber aufs i-net konnte ich nichts pingen....

 

 

kann mir jemand von euch die Logik, die hinter dem in w2k eingebautem TCP/IP-Filter steht, ERKLÄREN...``???

 

wieso ist das so???

 

die einzige firewall, die verbietet, was man freischaltet, oder wie...? und freischaltet, was man verbietet....komische sache...

 

tcp>>>permit ONLY>>port 80

udp>>>permit ONLY>>port 80

hab ich eingestellt....und dann geht der port 80 NICHT, dafür aber ALLE ANDEREN...... die eigentlich gesperrt sein müssten...

 

 

gruss&merci

pablo

Link to comment

Schon eine verquerte Sache die IP-Filter, aber im Prinzip ganz einfach:

 

Diese IP-Filter sind sozusagen der Vorgänger der Internetverbindungsfirewall von XP. Wenn man diese Filter einschaltet, regelt man, welche EINGEHENDEN Ports auf diesem Rechner freigeschaltet sind, also, ob jemand von aussen den Port XY ansprechen kann. Diese Filter regeln in keiner Weise den ausgehenden Verkehr, nur den eingehenden.

 

Desweiteren: Wenn man TCP oder UDP-Ports filtert, ist der ping davon nicht betroffen, denn benutzt weder TCP oder UDP sondern nur ICMP und IP. Um diese eingehenden Pakete zu filtern, dient dann die dritte Spalte.

 

Und was den Filtern noch wichtig ist: obwohl man sie an einer der Verbindungnen einstellt, gelten sie nachher für alle Verbindungen; kommt aber beim Aktivieren auch eine entsprechende Meldung

 

Gruß

grizzly999

Link to comment

also, demnach müsste also nur der port 80 von aussen offen sein, wenn ich sage...

 

...tcp, udp & ip ----> permit only Port 80

 

dem ist aber nicht so.

 

im internet explorer hab ich keine verbindung aufs inet... (dies ist als einziges erlaubt...)

 

dafür kann ich aber alle seiten (http://www.altavista.com) schön pingen, was NICHT ERLAUBT ist...

 

denn mein pc bekommt auch mit den ganz oben erwähnten einstellungen einen ping zurückgeschickt.... das dürfte nicht gehen...

 

 

...ausserdem müsste meine dhcp-ws eine anfrage für eine dhcp-ip abschicken, jedoch KEINE Antwort empfangen...da ja NUR der port 80 offen ist... (auf tcp, udp&ip)

 

 

kann man sich dies irgendwie erklären...?

 

gruss&merci

pablo

Link to comment

Also alles bis auf erste kann erklärt werden: Wenn tcp --> permit port 80 only eingerichtet ist, müsste der Connect von der WS ins Internet klappen, außer irgend ein anderer Filter an anderer Stelle verhindert dies. Muss ich aber mal überprüfen, ob ich das reproduzieren kann.

 

Für die anderen Fälle gilt: eingehende Antowortpakete auf ausgesendete Anfragen (ping, DHCP, DNS etc) werden natürlich reingelassen. Die Portfilterung filtert nur "neue Connectversuche" auf die entsprechenden Ports von aussen auf diesen Rechner raus.

 

grizzly999

Link to comment

hi grizzly.... merci vielmal

 

---

Für die anderen Fälle gilt: eingehende Antowortpakete auf ausgesendete Anfragen (ping, DHCP, DNS etc) werden natürlich reingelassen. Die Portfilterung filtert nur "neue Connectversuche" auf die entsprechenden Ports von aussen auf diesen Rechner raus.

---

 

das ist logisch, danke... c'est clair alors...

-->aber andere firewalls machen das nicht so, oder...? (npf und co)

 

 

---

Also alles bis auf erste kann erklärt werden: Wenn tcp --> permit port 80 only eingerichtet ist, müsste der Connect von der WS ins Internet klappen, außer irgend ein anderer Filter an anderer Stelle verhindert dies. Muss ich aber mal überprüfen, ob ich das reproduzieren kann.

---

 

also ich habe da absolut keine anderen filter oder firewalls drinnen, die das verhindern....

 

vielleicht: wenn der port erlaubt ist, wird er nur geöffnet, wenn KEINE anfrage vom lokalem system aufs internet erfolgt.

--->dies wäre aber sehr unbegreiflich und trifft (fast) sicher nicht zu.

 

 

gruss&merci

pablo

Link to comment
-->aber andere firewalls machen das nicht so, oder...? (npf und co)

 

Doch das machen viele Firewalls so. Eine Anwendung, z.B. ein Webbrowser benötigt eine Antwort auf einem bestimmten Port. Für die wenigsten Anwendungen sind aber bestimmte Antwortports vordefiniert, so dass sich die Anwendung einen beliebig freien Port zwischen 1024 und 65536 krallt. Damit müsste man für die Antwortpakete den ganzen Range von 1024-65536 aufmachen, weil ich ja nicht weiss, welchen Antwortport nimmt sich der Browser jetzt, welchen nacher, welchen morgen. Raptor z.B. wird auf diese Weise konfiguriert.

Andere Firewalls, wie ISA-Server oder aber auch diese Primitiv-Firewall, genannt TCP-Filter bei W2k oder XP, die machen die Antwortports dynamisch auf, d.h. ich muss keinen Antwortport und auch keinen Bereich von Antwortports konfigurieren. Die erkennen, ob das aussen ankomende Paket eine Antwort auf eine Anforderung ist und lassen es durch, oder ob es ein neuer Connect von aussen ist.

 

 

Habe übrigens gerade im Moment als TCP-Filter "Zulassen nur Port 80 TCP" eingestellt, und schreibe hier. Kann also dein Phänomen nicht reproduzieren => ?????? über meinem Haupt.

 

grizzly999

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...