Kerio: Regeln korrekt ? - Netzwerk / Esel

#0
13.07.2002, 02:23
...neu hier

Beiträge: 1
#1 Hallo !

Folgendes Szenario habe ich:

LAN Zugang (1. Netzwerkkarte)
QDSL Zugang (2. Netzwerkkarte)
Win2000
Kerio Personal FW v2.14

Nun möchte ich, dass nur die Leute,
die bei mir am Netz hängen, auf meine freigegebenen Ordner zugreifen können.

Regeln habe ich dazu erstellt,
bin mir aber nicht sicher,
ob diese korrekt sind.

Folgende Seite verdeutlicht dies:
http://de.geocities.com/struppi349876/

Zudem bekam ich schon einige mal die Meldung,
dass lsass.exe Port 500 (IN) zugreifen möchte.
Ich habs verweigert. Korrekt ? (siehe Seite)

Ist dies auch korrekt ?
ICMP OUT: 0,3,4,8,10
ICMP IN: 0,3,4,8,10,11
ICMP REST: DENY

Zum Schluss habe ich noch ne weitere Frage.
Ich nutze eDonkey und habe bei Kerio alles erlaubt.
Wenn ich nun die letzte Regel (REST IN, any protocol, any port,any....DENY)
aktiiere (und protokolliere dies), bekomme ich alle 3-4 sek eingehende Portanfragen (u.a. 6346).
Bsp.: "Rule 'REST': Blocked: In TCP, post1.swedianet.dk [194.255.14.82:1237]->localhost:6346, Owner: no owner "
.......
Mit Port 6346 ist anscheinend eDonkey gemeint,
da sonst nix läuft, aber warum steht bei Owner nix ?!
Deaktivere ich nun die letzte Regel,
bekomme ich keine Meldung von Kerio.

Hmmm, dass wars auch dann schon.

Für hilfreiche Antworten wäre ich dankbar ;)

cya
Lucky
Dieser Beitrag wurde am 13.07.2002 um 03:01 Uhr von lucky editiert.
Seitenanfang Seitenende
13.07.2002, 11:08
Member

Beiträge: 813
#2 Hi,

erstmal was Grundsätzliches zu deinem Ruleset:
Die meisten von Kerio vordefinierten Regeln kannst du rausnehmen. Ich weiß zwar nicht, was z.B. die von dir genannte "lass.exe" eigentlich macht, aber bei mir läuft alles wunderbar, auch ohne der Datei so viele Rechte zu geben.
Bei den anderen Regeln: einfach mal deaktivieren und schauen, ob noch alles geht...
Ansonsten brauchst du auch nicht so explizite Verbots-Regeln (wie z.B. für Internet-Explorer), wenn du sowieso am Ende eine "Block Rest"-Regel hast.

Zu deinem Netz: Eigentlich müsste es reichen, wenn du unter "Microsoft Networking" die Adressen, die Zugriff erhalten sollen, als "trusted" eingibst. Ich glaube, dann brauchst du keine Regeln mehr...

Zu eDonkey: Der Standardport für eingehende (incoming) TCP-Verbindungen ist 4662, d.h. du solltest auch nur für diesen (local-)port eingehende Verbindungen erlauben.
Port 6346 hat meines Wissens nix mit eDonkey zu tun. Ich hab gerade eben bei mir auch solche Verbindungsversuche beobachtet... vielleicht ein neuer Trojaner-port...? Oder ein anderes File-Sharing-Prog, das diesen port benutzt...? Jedenfalls ist es normal, das da "no owner" steht.

Ich hoffe, das hilft dir, sonst frag einfach weiter.

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
13.07.2002, 12:00
Moderator
Avatar joschi

Beiträge: 6466
#3 Port 6364/TCP gnutellap2p
No Owner=Lokal gibt es auf diesem Port keinen "Ansprechpartner", kein Dienst aktiv
Habe mittlerweile für 1214,4662,6346,4665,4661 TCP/UDP eine Deny/Regel erstellt, welche die eingehenden Anfrage nicht ins Logfile schreibt, da dieses sonst "überläuft" ;).
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
13.07.2002, 12:57
Member

Beiträge: 1516
#4 zu forge der Standartport von edonkey ist 4662 90% der verbindung laufen darüber wenn man sich jedoch auf einen server einwählt oder der server datenschickt kommt es öfters auf anderen Ports zu einer Verbindung ist aber nur nach meinen beobachtung
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
15.07.2002, 07:29
Member

Beiträge: 141
#5 @lucky
Du kannst deine Windowsfreigaben auch an dein LAN Interface binden somit kann der Dienst gar nicht mit dem Internet genutzt werden und ist sicherer als blind auf die Wall zu vertrauen.
Dienste abschalten:
http://www.kssysteme.de/htdocs/documents/wxpports.shtml
zusätzlich noch als kleine Info zur Deinstallation von vorher nicht deinstallierberen Komponenten von MS (selbst nicht getestet)
http://www.bluemerlin-security.de/Secure_System_Komponenten_deinstallieren_130702.php3
Grüsse
Smaggmampf
Dieser Beitrag wurde am 15.07.2002 um 07:34 Uhr von Smaggmampf editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: