McAfee blockt teilweise emule traffic

#0
10.09.2003, 21:36
...neu hier

Beiträge: 4
#1 Ich habe die McAfee FW4 und bei emule folgende Regeln:

1) Erlaube ausgehende/eingehende UDP Verbindungen.
2) Erlaube ausgehende TCP Verbindungen
3) Erlaube eingehende TCP/UDP Verbindungen auf 4972 und 4962

Es läuft auch alles so wie es soll, emule findet Quellen, Upload, Download, etc., alles klappt.

Trotzdem finde ich im Log der Firewall etwa 30 Verbindungen pro Minute die geblockt wurden und die ich anhand der verwendeten Ports emule zuordne. Hier die beiden Arten von geblockten Verbindungen:

"...blocked an incoming UDP packet. The remote address associated with the traffic was 200.204.xxx.xxx. The remote port was 4672 [ephemeral]. The local port on your PC was 4972 [ephemeral]."

"...blocked an outgoing TCP packet. The remote address associated with the traffic was 218.186.xxx.xxx. The remote port was 4666 [ephemeral]. The local port on your PC was 4255 [ephemeral]."

Dabei wechselt natürlich jeweils der remote-Port bei den eingehenden UDP, bzw beide bei den ausgehenden TCP Verbindungen.

Das tritt auch auf wenn ich emule völlig ungefilterten Zugang gebe. Ich vermute daher es liegt an irgendwelchen generellen Sicherheitseinstellungen der FW. Sind ihr das eventuell zu viele Verbindungen die da eingehen und die dann standardmässig teilweise geblockt werden? Wenn ja, läss sich das irgendwo ausschalten?

Vielen Danke schonmal, hab schon in zig Foren gefragt und niemand wusste was...
Seitenanfang Seitenende
10.09.2003, 23:38
Moderator
Avatar joschi

Beiträge: 6466
#2 Ein "völlig ungefilterter Zugang" gibt es nicht, solange die Firewall irgendiwe aktiv ist !
Die meisten Desktopfirewalls kontrollieren den Zustand einer Verbindung. Hierzu bedient sich die Firewall der im Paketheader stehenden Flags und Sequenz-/Bestätigungsnummern.

[http://www.trojaner-und-sicherheit.de/tcp-ip-schulung/sld108.htm , Beispiel wie eine Verbindung unter TCP zustande kommt]

Möchte ein Paket passieren, welches die Firewall keiner bestehenden Verbindung zuordnen kann, so wird sie es verwerfen.

Man kann auch nicht ausschliessen, dass eine Software bezgl des TCP/IP-Protokolls Fehler macht !? Davon würde ich aber nicht ausgehen ;).
Ähnlich gelagert[?], evtl mal durchlesen: http://board.protecus.de/t1418.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
11.09.2003, 00:08
...neu hier

Themenstarter

Beiträge: 4
#3 Danke, sowas hatte ich auch schon vermutet, eben weil emule ja alles darf (was ich mit ungefiltert meinte ;) ). Daher muss ja was Generelles dahinterstecken, also ein Filtern das unabhängig von dem jeweiligen Programm durchgeführt wird.

Zitat

Möchte ein Paket passieren, welches die Firewall keiner bestehenden Verbindung zuordnen kann, so wird sie es verwerfen.

Das kanns ja eigentlich nicht sein glaube ich, der Port an dem die UDP-Packete eingehen und geblockt werden (was etwa 90% des geblockten Traffics ausmacht), ist ja explizit freigeschaltet.
Seitenanfang Seitenende
11.09.2003, 10:18
Moderator
Avatar joschi

Beiträge: 6466
#4 Das mit UDP ist nun wirklich die Frage: Ein dynamischer Paketfilter kann auch hier gewissermaßen zwischen einer Antwort und einer "Anfrage" unterscheiden.
Der klassische Verbindungsaufbau fällt allerdings weg.
Ich kann es mir nur so erklären: Die Firewall merkt sich bei ausgehenden Paketen den Quell- und Zielport sowie die Zieladresse. Es werden im selben Zuge nur eingehende Pakete zugelassen, deren Zielport [dein PC] zuvor beim ausgehenden Paket Quellport war und die Absender IP muss natürlich auch übereinstimmen. Das stellt mich noch nicht ganz zufrieden ;), aber evtl ist das ein Ansatz. Wie gesagt, man weiß auch zuwenig darüber, wie und für was Ömule UDP einsetzt. Mit dieser Information käme man schon weiter. Evtl mal Source-Code anschauen ;) .
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
11.09.2003, 13:28
...neu hier

Themenstarter

Beiträge: 4
#5 Ich habe aber extra eingehende UDP-Verbindungen auf Port 4972 freigeschaltet, trotzdem werden diese geblockt. Dein Ansatz würde denke ich zum Zuge kommen wenn es keine Regel gibt und die FW daher selber erkennen muss ob der Traffic quasi einer von mir aufgebauten Verbindung zugehörig ist, was ja anders als bei TCP dann nur durch Port/IP Vergleich möglich wäre, quasi eine logische ausgehende Verbindung. Aber hier blockt die FW ja klar entgegen meiner Filterregel eingehende UDP-Pakete auf dem Port.

Zitat

Wie gesagt, man weiß auch zuwenig darüber, wie und für was Ömule UDP einsetzt.

UDP auf Port 4972 (bzw Standardport ist 4672, aber daran liegt nicht das Problem) dient laut FAQ zum Queue Ranking und File Reask Ping. Ich vermute mal damit fragt der fremde Client seine Warteschlangenposition bei mir ab, sowie gibt mir durch den Ping zu verstehen, dass er noch immer für das File ansteht. Nach meinem Verständnis wäre daher bei einem kompletten Blocken bei mir gar kein UL mehr möglich, aber den gibts noch wie immer. Hab aber mal betreffs Blocken des Ports im emule-project Forum nachgefragt.
Seitenanfang Seitenende
11.09.2003, 22:39
Moderator
Avatar joschi

Beiträge: 6466
#6 Also, ich hab mir das hier angeschaut.
Ömule-Einstellung: UDP 4627 aktiviert.
Firewall: UDP out / all
UDP in /4672
Ergebnis: mein Log füllt sich langsam aber sicher.
Grund: Beim Programmstart wählt das Programm UDP:2527 und UDP:4672, beide im "listening"-Status.
Aber(!!): Pakete gehen über 2527 raus, nachvollziehbar. Logischerweise werden Antwortpakete wieder an Port 2527/UDP adressiert sein. Können natürlich so nicht ankommen, da die Firewall diesen zufällig gewählten Port nicht erraten kann. ;)
Wird UDP/IN nicht mehr auf 4672 begrenzt, funktioniert das alles.
Scheinbar funktioniert auch alles, wenn man UDP einfach abstellt.
Diese beide Mögliochkeiten hat man....
Das Programm hält sich einfach nicht an die Vorgaben. So sehe ich das.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.09.2003, 01:10
...neu hier

Themenstarter

Beiträge: 4
#7 Er blockt bei mir aber Pakete an Port 4972, den ich explizit freigegeben habe, das ist ja das komische. Zusätzlich erlaube ich noch generell UDP in/out um diesen anderen UDP-Traffic zu erlauben. Ich habe die Regel "allow inbound UDP-traffic on 4972", aber trotzdem wird exakt dieser Traffic geblockt. Ist mir rätselhaft...
Seitenanfang Seitenende
12.09.2003, 11:43
Moderator
Avatar joschi

Beiträge: 6466
#8 Es gibt zwei Möglichkeiten, die naheliegen:
- Fehler im ruleset
Ist die Regel wirklich für eingehende Verbindungen, widerspricht evtl eine andere Regel dieser Regel ?

- Software-Fehler ?
Wenn es der Firewall zuviele Verbindungen wäre, würde sie höchstens das System bzw. die Verbindung ausbremsen, oder sich ganz verabschieden. Dass sie "sinnlos" zu blocken beginnt, denke ich nicht.
Aber evtl blockt sie Pakete, die an Ports adressiert sind, wo die Firewall erkennt, dass es kein lauschender Port ist. Dürfte eigentlich nicht sein, aber viellecht ein "Feature" der McAfee-FW
( ...nur ein weiterer, vermutlich nicht fruchtbarer Erklärungsversuch ;) )
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: