Kerio Firewall Filter Rules Config

#1 Servus !

Manchmal wird an meinem rechner ziemlich oft versucht "einzudringen":

Someone from f04a-11-38.d1.club-internet.fr [212.194.82.38], port 1352 wants to connect to port 135 owned by 'Generic Host Process for Win32

Someone from f05a-2-3.d1.club-internet.fr [212.194.97.3], port 1590 wants to connect to port 135 owned by 'Generic Host Process for Win32 Services' on your computer


also ich hab mal bei ripe nachgefragt, das ist irgendjemand aus dem franz. postnetz !

ich habe danach mal "incoming icmp time exceed" abgedreht .. und
... jetzt ist schluss mit den versuchen, in meinen rechner einzudringen !

ganz klar ist mir der zusammenhang aber nicht, wie hat der icmp seine finger da im spiel mit drinnen ?!?
der angreifer braucht ja meine ip um mit icmp request was rauszubekommen,
oder binich jetzt völlig daneben ??

PS: wenn ich ICMP zumache,kann ich dann nicht mehr anpingt werden ?

gruß elvis X-)=

#2 Ob jetzt jemand/ein PC sich zu deinem auf Port 135 verbinden möchte hat mit icmp/time-exceeded in meinen Augen nichts zu tun. sollten diese connects sehr häufig festgestellt werden, dann liegt das eher an dem Wurm w32.myblast.
S.a. http://board.protecus.de/t5696.htm
"Deine" IP steckt zum Beispiel irgendwo zwischen 212.197.141.1 und 212.197.141.254, . Mit einem Scanner ist der Bereich schnell "abgegrast".
Ein ausgesendetes Echo-Request und ein dazugehöriges empfangenes Echo-Reply geben dann die Bestätigung. dass ein Host aktiv ist.

Die Nachricht "Time Exceeded" schickt dir evtl ein Router im Internet, wenn er ein von dir verschicktes Paket nicht ausliefern kann, was verschiedene Gründe haben kann.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo elvis,

ich habe ein ganz ähnliches Problem: ständige Versuche
von "dialin-212-144-171-050.arcor-ip.net[212.144.171.50]
port 4015" (und ähnliche IP-Adressen), per TCP auf meinen
Generic Host Process port 135 (svchost.exe) zuzugreifen.

Diese IP-Adressen werden zugewiesen, wenn man sich
über Arcor Call-by-Call mit dem Internet verbindet.

Sind das bei Dir auch TCP-Incoming-Meldungen?

Hast Du inzwischen schon rausgefunden, was es damit
auf sich hat? Steckt wirklich w32.Blaster dahinter?

Ich habe übrigens W2K Prof Stand-alone, SP 4 mit dem
Blaster-Patch installiert.

@joschi: Kann ich den Generic Host Process komplett
dichtmachen? Oder zumindest für Incoming TCP?
Wie sieht die Regel dann aus (welche Adressen/Programme/
ports) ?

Sorry, ich bin neu im Thema Firewall (merkt man vermutlich),
habe hier im Forum auch schon einiges gelesen, aber
mit der svchost komme ich immer noch nicht klar,
wofür ich die brauche.

Danke für jede Hilfe.
Gruß littlepony

#4 Ist bei mir auch dauernd so. XP Blaster Patch is druff und meine Firewall hält. Aber das Pop-Up nervt. Kann ich den 135'er Port mit Kerio 2.15 ganz zu machen oder gibt's da Probleme. Konnte bis jetzt keine richtige Antwort drauf finden.

Thnx,

DCXP

#5 Zum einen kannst Du mit Kerio den Port 135 blocken.
Welches Popup nervt denn ? Das von Kerio ? Oder vom Nachrichtendienst?
Die Rule:
Protokoll TCP/UDP
Direction Incoming
Local Endpoint Port:135
Remote Endpoint: Any Adress, Any Port
Action: DENY
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Ich meinte das Kerio Pop-Up, wo dauernd "Generic Host...) gemeldet wird.
Wollte bloß wissen, wenn ich den Port 135 komplett blocke, obs da irgendwelche Schwierigkeiten geben kann.

#7 Wenn sich schwierigkeiten daraus ergeben sollten, dann revidiere die Regel einfach. Erscheint dieses Popup tatsächlich nur mit dem Bezug auf eingehenden Verbindungen auf Port 135 kannst Du es getrost sperren- ohne Probleme- wie ich meine.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Jau, hab ich schon gemacht. Bis jetzt funzt alles nach wie vor... Nerviger Blaster!

Noch so ne Frage nebenbei: Ähnlich versucht auch öfter wer auf mein "system" Port zuzugreifen. Auch sperren oder ist das normal? Bis jetzt hab ichs immer denied und es flutscht weiterhin alles...

Thnx,

DCXP

#9 Anfrage von außen kannst Du immer getrost sperren, sofern Du nicht selbst einen Server betreibst.
Weitere Ausnahmen wären z.B : IP-Telefonie, Video-Conferencing (Webcam).
Hier ist es erforderlich, dass das entsprechende Programm eingehende Verbindungen akzeptiert.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#10 Danke, das Board hier ist wie immer super!

Gruß,

DC