TPF mit W2k läuft nicht über ICS

#1 Ich habe folgendes Problem: Ich habe die TPF installiert und sie läuft nach einigen Startschwierigkeiten auch auf dem Rechner, der den DSL Zugang hat. Ich nutze diesen Zugang aber über ICS (beides Win2000 Rechner) noch auf einem anderen Compi. Und wenn TPF aktiv ist (und auch sicher), dann kommt an dem Client nichts mehr an. Ich habe auch unter Network... bei TPF die ip Adresse desClients freigegen und ich weiss nicht mehr weiter! Kann mir jemand helfen???

Gruss Hauke

#2 Hi Hauke!

Am besten wäre es gewesen wenn du dabei gesagt hättest was du für Ics benutzt. Nutzt du ein Programm? Oder Windows für Ics?
Wenn es ein Programm ist musst du dem Programm natürlich freiheiten gewähren. Und wegen der Kategorie Microsoft Networking in Tiny. Da versuch mal die Adressesn raus zu nehmen und die Häckchen bei "Trusted Adresses only" weg zu machen. Ich hatte da ma öfters Probleme das das dann net ging.
Da habe ich dann gesagt er soll alles erlauben im Netzwerk. Dann gings.

Cu Tomy

#3 Hi!

Bei mir funktioniert ICS von Windows problemlos, wenn ich auf dem Server und den Clients eine "allow-all"-Regel erstelle die (natürlich nur für die IP-Adressen im LAN) jegliche Kommunikation erlaubt (any protocoll, both directions => permit.)
Sicherheitstechnisch ist dagegen doch nix einzuwenden, oder?
"Trusted Adresses" ist nach meiner Erfahrung nicht das, was es zu sein scheint; irgendwie etwas komisch jedenfalls.

Mit Tiny funktioniert ICS ja ohne aktiviertem "is running on internet gateway", was schön ist, da so alle Ports stealthed sind.
Kann es aber sein, dass das mit Kerio nicht mehr geht (wegen neuer Schutzmechanismen), oder hab ich irgendwas falsch gemacht?

Ciao

#4 Hi, danke für eure Hilfe! Aber leider funktioniert dass alles so nicht ich hab keine ahnung wie ich dass alles einstellen muss. Hab all das Probiert was ihr meintet und es klappt immer noch nicht. Ich benutze übrigens die ICS von Windows. Ich habe meine Tiny firewall nach dem Muster von www.bananajoe.de eingerichtet. Da steht aber nichts von Netzwerk einstellungen. Kann ich irgendwo so ein "Ruleset" anschauen für meine Konfiguration oder irgend jemandem per e-mail ein Paar screenshots von meiner Konfiguration zu senden? Ichverzweifel nämlich langsam!

Vielen Dank und Gruss

Hauke

#5 Hallo!

Vielleicht wäre noch wichtig gewesen, zu erwähnen, dass so eine allgemeingültige "allow-all"-Regel in der Regelliste ganz oben stehen muss, da Tiny das Regelset von oben nach unten nach einer passenden Regel durchsucht.
Wenn eine passende Regel gefunden wird, werden die nachfolgenden nicht mehr beachtet. D.h. wenn du durch irgendeine Regel ungewollt etwas blockierst, hilft eine darunterstehende "allow-all"-Regel nicht mehr.

Wenn das auch nix bringt, kannst du mir ruhig mal ein paar screenshots schicken. Meine Adresse: forge77@gmx.de

Ciao

#6 Hallo,

habe die Einstellungen auch so wie forge77. Nur bei mir muss "is running on internet gateway" aktiviert sein (Kerio PF), da es sonst nicht funktioniert. Habe mit der Einstellung alles stealthed bis auf TCP "PING" (Scan von PCFlank.com). Ach so Mircosoft Networking ist auch noch aktiviert.

#7 @ Hauke,

versuch das Ruleset hier auf der Seite. Habe auch mak das von bananajoe ausprobiert. Kam damit aber nicht zurecht.

Ciao

#8 Tach,

ich habe mir gerade die bananajoe Seite angesehen:
Der scheint ja ziemlich von http://faq.at/firewalls kopiert zu haben!
Sogar das Navigationsmenü hat er übernommen...

tolle Leistung Bananajoe!
James

#9 Hi!

@ Timbo123
Ich kann deine Erfahrungen mit Kerio bzgl. "running on gateway" und pcflank nur bestätigen.

Der Grund scheint folgender zu sein:
KerioFW kann nicht zwischen Antwort-Paketen, die an Client-Rechner (welche über ICS, WinRoute o.ä. aufs I-Net zugreifen) gerichtet sind und TCP-Pings (laut dem Kerio-log auch "ack packet attack" genannt) unterscheiden.
"Running on gateway" bewirkt deshalb u.a., dass TCP-Pings und damit auch die Client-Pakete einfach nicht mehr geblockt werden.
Man kann so zwar mit den Clients ins Internet, dafür ist der TCP-Ping bei pcflank "non-stealth".

Bei Tiny braucht man "running on gateway" nicht, da sowieso keine TCP-Pings geblockt werden.

Übrigens, Haukes Problem wurde gelöst, war ein Fehler in der allow-all-Regel.

Ciao