Portmapping forward packet to statt verwerfen sinnvoll?

#1 Hallo Leutz

ich benutze eine vielleicht für manche eigentümliche Kombination aus Kerio Firewall und WinRoute light. Das funktioniert auch prima bis auf die Kleinigkeit,
dass bei aktivierter Winroute engine der stealth test leider versagt.
Winroute light verfügt über keine extra Verwerfungsregel im portmapping.
Ich (noob) bin dann auf die Idee gekommen die low ports 1-1024 mit ausnahme von port 53 der von Winroute light benutzt wird per WinRoute portmapping Regel "forward packet to..." auf eine nicht benutzte ip Adresse meines Netzwerks zu schicken. Das scheint auch wunderbar zu funzen. Laut pcflank strealth test ist alles wieder stealth.
So meine Frage: Unterliege ich da einen Irrtum oder ist das eine akzeptable Lösung für eine nicht vorhandene Verwerfungsregel von seitens Winroute light?
Ich will es gleich vorwegnehmen, ich weiss Winroute pro hat eine extra Firewall mit Verwerfungsregel und ein Hardware Router ist vielleicht auch die bessere Idee, aber meine Frage richtet sich auf meine für Winroute light gefundene Lösung.

#2 Hi!

Welcher der stealth-tests versagt denn?
Eigentlich sollte KerioFW alle Tests bis auf "TCP-Ping" bestehen, wenn du "is running on gateway" aktiviert hast. Dies ist meiner Meinung nach nötig, wenn du WinRoute o.ä. einsetzt, um NAT auszuführen (korrigiere mich bitte, wenn es auch ohne geht, würd mich sehr interessieren...)
Da sozusagen beide Engines (erst KerioFW, ann Winroute) durchlaufen werden, müssten die anderen Tests bestanden werden.

WinRoute Pro, welches ich neben Kerio einsetze, kann nur solche Pakete verwerfen, die NAT durchlaufen sollen. D.h. WinRoute Pro bietet nur dann zusätzlichen "stealth-Schutz", wenn auch mit dem WinRoute-Rechner, der am I-net sitzt, NAT durchgeführt wird. Dies ist standardmäßig aktiviert, kann aber unter "Schnittstellentabelle" deaktiviert werden für den Fall, dass der Rechner Verbindungen vom Internet annehmen können soll (z.B. für edonkey...)

Deine Lösung hört sich gut an, funzt bei mir auch (wie gesagt, bei mir ist der TCP-Ping sonst nicht-stealthed), aber müsste man nicht alle ports mappen? Pcflank scannt nur port 1, aber das ist ja nicht der Regelfall.
Außerdem kannst du doch auch port 53 mappen, denn DNS läuft nur über UDP (oder kann man das bei WR light nicht so genau einstellen...?)

Ciao

#3 Hi Forge77
Hmmm alle 5 stealth tests hatten damals versagt.
In meinen System ist running on gateway deaktiviert. Es scheint aber alles auch ohne prima zu laufen und alle Tests liegen im stealth. Auch der TCP-Ping test. Ohne den Port 53 komme ich leider nicht aus den muss ich bei meinen portmapping ausklammern sonst läuft mit routing nix.
Wenn ich dir zu meinen Einstellungen noch Infos liefern soll gib Bescheid
cya

#4 Hallo!

Ich frage mich, ob wir überhaupt die gleiche Firewall haben!?
Dass Kerio die stealth-tests besteht ist nämlich eigentlich unbestritten.

Solltest Du stattdessen die Tiny-FW haben, die ja, quasi als Vorgänger, überall im gleichen Atemzug mit der Kerio genannt wird, würde das alles erklären.
Die besteht nämlich keinen der Tests und funzt (daher?) auch ohne "running on gateway" zusammen mit WinRoute o.ä.

Oder setzt du die Kerio nur auf den Clients ein...?

Hmm, etwas merkwürdig, genauere Infos über dein System würden sicher helfen...

Ciao

#5 Hi again

doch ich benutze kerios aktuellste Version. Kerio ohne winroute hat im stealth test zumindest bei den aktuellen versionen im stealth nie versagt da kann ich nur zustimmen.
Ich benutze mein winroute nur bei bedarf daher auch nur winroute light und nicht pro . Mir sind deshalb auch die nur "closed ports", die durch winroute light ohne irgendwelche Portmapping einstellungen entstehen nicht gleich aufgefallen.
Kerio und WRl laufen nur auf meinen Host Rechner.

Hmmm das einzige was noch bei mir läuft ist Proxomitron. Ich habe diesen noch mal kurz aus meinen System zu Test und Vergleichzwecken entfernt, aber das hat nix an dem Ergebnis verändert, hätte mich auch verwundert.

Mein Host ist ein 98 SE und meine 2 Clienten sind ein 98 SE und ein XP. Ich verwende keine automatische IP vergabe und brauche auch kein DHCP,
nicht sehr profi like aber funzt ist auch nur ein Netzwerk für die Family.

Ich bin wohl das, was man als Blinder in einen Minenfeld bezeichnet. Ich taste mich voran, weiss die ungefähre Richtung und hoffe das nix explodiert

#6 Moin!

Nur dass hier kein falscher Eindruck entsteht: Ich hab auch nicht viel Ahnung von dem ganzen Netzwerk-Kram; das meiste kriegt man durch geduldiges ausprobieren mit...

Es scheint mir doch einen größeren Unterschied zwischen WinRoute Pro und light zu geben.
Die Pro-Version und KerioFW ergänzen sich (bei mir) sehr gut; zuerst filtert Kerio, dann erledigt WinRoute den Rest.
Nach dem, was Du berichtest, scheint die light-Version dagegen die FW irgendwie zu umgehen... sehr merkwürdig!

Mein Gateway ist übrigens ein Win2000-System, aber ob das einen Unterschied macht...?

Nochmal zu deinem Trick: Eigentlich müsstest du ja alle ports weiterleiten, denn man kann glaub ich nicht drauf zählen, dass immer "nur" die ports 1-1024 gescannt werden. Pcflank scannt, wie gesagt, nur port 1, was in diesem Fall nicht sehr aussagekräftig ist.

Das Problem beim weiterleiten aller ports:
Mit dem WinRoute-Rechner kann man dann nicht mehr ins I-Net, da alle Rückantworten an den Rechner, die normalerweise an "höhere", zufällig ausgewählte Ports gehen, vorher "weggeroutet" werden. Zumindest bei der Pro-version ist dies so. Bei der light auch?

Schade eigentlich... trotzdem echt gute Idee!

Ciao