Probleme mit der "All Incoming Blocked"-Regel

#1 Hoi Leute,

Zu allererstmal find ich das Board und besonders die zugehörige Homepage super. Ruleset gut erklärt und erläutert. Weiterso!!! Hab meine Kerio hier super zum laufen gebracht, auch mit ICS-Netzwerk, nur eben mit folgendem Problem:

Erstmal wenn ich ohne der "All Incoming Blocked"-Regel nen Portscan mache (mit GRC) , habe ich einige closed Ports und 2-3 Stealth Ports und keien Open Ports, dafür kann ich auch via FlashFXP oder IRC connecten.

Sobald ich die All Incoming-Blocked-Regel aktviere, kommt beim Portscan überall Stealth, so wie es eigentlich sein soll.
Doch seltsamerweise kann ich mit FlashFXP bzw. IRC nicht mehr einwandfrei coneccten. In der Log steht dann eben die IP, jedoch bei Owner: "no owner". Da sollte doch FlashFXP bzw. der IRC-Client stehen?

Wird da vielleicht auch wichtige Information geblocked, die ich oben nicht definiert habe?



Hatte früher die Norton Personal Firewall (seltsamerweise verlangt der zum Deinstallen Supervisor-Rechte, obwohl ich als Administrator eingelogged bin = WinXP Prof. ). Deshalb wird immer über diesen seltsamen Transparent ProxyServer von dieser FW ins Internet verbunden.

Noch was: der "Application Layer Gateway Service" und der "Generic Host Process for Win32 Services" sind eh richtig so konfiguriert? Oder brauchen die gar keine Rechte?

BIG THX 4 REPLY... Hoffe, es weiß jemand nen Rat!
Andyka

#2 warum erlaubst du unter Net Bt alle udp sachen versteh ich nicht falls das für ics grenz es doch auf die lokal ip`s ein

Outgoing ip protocol 47 kenne ich nicht was ist das?

bei der dns kannst du noch die ip des dns servers eintragen (schau in deine log rein)übrigens das läuft bei xp über svchost.exe deine Dns regel brauchst du wahrscheinlich nicht


bei der email regel kannst du noch deinen email server angeben

Dann deine Icq rule ich habe dein ein komplett andere nämlich remot port 5190

Applikation layer gateway kenne ich nicht deaktivier mal und schau ob noch alles geht

übrigens solang alles closed ist es inordnung nur open sollte es nicht sein seitden man hat einen Server der von ausen erreichbar sein soll
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 hoi spunki

THX für die schnelle Antwort

Folgendes:
Erlaub unter Net BT alle UDP-Sachen für die "Custom Adress Group" da sin die Netzwerk IPs drinne. Aber mit Kerio funzt das ja auch ohne.

DNS-Regel: Hab nen Primary und nen Secundary DNS. Deshalb dacht ich mir, geb ich die auch gleich in die Custom Adress Group rein und passt!
Aber wenn du sagst, macht eh der SVCHOST bei WinXP, dann deaktivier ich das mal.

E-mail-Regel: Hab mehrere E-Mail-Server zum coneccten, deswegen wär das etwas kompliziert. Deshalb geb ich gleich alle frei.

also ICQ funzt bei mir. Das hängt mit meinem Socks-Proxy zusammen, der auf diesem 268er Port läuft.

Applikation layer gateway lass ich erstmal abgeschalten.

wegen Closed: Stealth iss halt besser, da es gar nicht aufscheint, dass der Port bzw. Computer existiert.

THX 4 the Tipps.
Aber mit der All Blocked-Regel komm ich immer noch ned zurecht :/
Hätte halt gerne alle Stealth und außerdem habe ich gerne Warnungen bzw. Aufzeichnungen, wenn wer bei mir connecten will, das hab ich nicht, wenn ich das normale "Log Packets to Unopend Ports" aktiviere.

wäre nett, wenn da noch wer nen Rat hätte
Andyka

#4 Zu deiner Frage mit dem "Generic Host Process for Win32 Services":
Unter Win2000 meldet sich der Dienst nicht, hat demnach keine Regel bekommen.
Wieso dein FlashFXP nicht funktioniert, ich rätsle wirklich. Verbindet sich das Programm noch über einen lokalen Proxy? wäre dem so, dann erkläre FlashFXP mal, dass es keinen Proxy verwenden soll und schau, ob es dann funktioniert.
Ich denke, der TransparentProxy ist möglicherweise dein Problem !?
Dass in den "alarm"-Meldungen allerdings kein "owner" angezeigt wird, das irritiert...
Check mal, ob NortonFirewall noch im Hintergrund arbeitet. Hat sich so angehört, als ob Du das Programm nicht "losgeworden" bist .
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 hehe...
jo joschi, das bin ich noch ned losgeworden

Also Proxy hab ich bei FlashFXP ned drinn.
Ich denk mir auch, dass es an der NortonFirewall liegen kann... werd das mal auschecken und versuchen, das irgendwie von der Platte zu bekommen.

Achja: Das Problem existiert nur wenn ich über Port "21" connecte
bei anderen Ports gibts das Problem seltsamerweise ned....

Sieht ca. so aus:

Zitat

07/Aug/2002 06:03:50 ALL OTHER blocked; In TCP; ftp2.tripod.com [209.202.197.152:20]->localhost:5001; Owner: no owner

^^^^^^^
Scheint so, als ob der Server nochmal ne Bestätigung haben will?

Bei meinem IRC-Client ist ja beim Connecten das gleiche Problem. Nach dem Verbinden kann ich auf dem Server bleiben, auch wenn die Rule an ist.

Achja: Application Layer Gateway Service <== der muss auch was mit Flash FXP zu tun haben, denn wenn ich den NICHT erlaube, kann ich gar nichtmehr zu nem Server (egal, welcher Port) verbinden.

DANKE derweil für die Tipps.
Andyka

#6 Meinem Gefühl nach hängt es an Norton. Aber noch eine Frage zu

Zitat

Bei meinem IRC-Client ist ja beim Connecten das gleiche Problem. Nach dem Verbinden kann ich auf dem Server bleiben, auch wenn die Rule an ist.

Heißt das, dass Du deinen IRC verwenden kannst ???
-Das mit dem "Application Layer Gateway" ist gut möglich, trägt nicht umsonst diesen Namen :-).
-Zu FlashFXP: Scheitert schon beim "connect", oder erst der Datenübertragung ?
Also entweder ich übersehe was wichtiges !?; tippe aber stark auf Norton.
kann mir nicht vorstellen, dass FlasFXP bei dieser Rule seinen Dienst nicht tut.
Norton konnte unter Win2K ohne Probleme manuell gelöscht werden (von Platte löschen, Autostarteinträge bearbeiten, s.a http://board.protecus.de/t32.htm: , manuell aus Registry löschen. (Backup anlegen und Vorsicht falls mehrere Symantec-Produkte auf der Platte sind ) Ich denke, dass dieses Schritte auch unter XP machbar sind !?
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 Schuldigung das mit Custom adress group hatte ich übersehen hatte gedacht du lässt das für alle zu.


Guck mal unter ms config unter Dienste und sytsemstart ob irgendwas von Norton drinsteht und deaktivier es
Installier Norton vieleicht erneut und Deinstallier es wieder damit sollte es aufjeden fall gehen.

Läuft bei dir DNs über die svchost.exe bei einigen scheint es nicht darüber zu laufen würde mich mal interresieren

Welche ports sind denn offen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8

Zitat

Installier Norton vieleicht erneut und Deinstallier es wieder damit sollte es aufjeden fall gehen.

Spunki überleg mal bitte:
...wie oben von Andyka erwähnt und auch in etlichen anderen Threads nachzulesen, ist das Deinstallieren von Norton-Firewall ein immer wiederkehrendes Problem. Wozu also nochmals installieren ?
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Anscheind wurde nicht alles komplett gelöscht wenn man es jetzt wieder installiert sollte der deinstallier die alten komponenten mit löschen ich habe es so zumindestens bei mir hinbekommen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 Danke für die rege Beteiligung meines Problems....

Kann nun die Norton Personal Firewall endlich loswerden.
Anscheinend hatte ich mal das File "IAMAPP.EXE" aus dem Autostart entfernt.
Und da sich die Deinstallation nur durchführen lässt, wenn die Firewall gestartet ist, funzte das vorhin nicht.

Durch diesen Transparent Proxy Server der Firewall läuft nun der Internet-Verkehr nichtmehr.

Weiterhin habe ich, auch nach der Deinstallation, das Problem mit FlashFXP:
Nochmal Meldung der Firewall (Log):

Zitat

08/Aug/2002 00:19:57 ALL OTHER blocked; In TCP; ftp4.tripod.com [209.202.197.154:20]->localhost:5001; Owner: no owner

Meldung von FlashFXP:

Zitat

Connecting to Tripod
Connected to ftp.xxxxxx.com Port 21
220 Welcome to Tripod FTP.
USER xxxxxxxxxxx
331 Username set to xxxxxxxx. Now enter your password.
PASS (hidden)
230- blabla (message)
230 User 'xxxxxxxxxx' logged on.
SYST
215 UNIX Type: L8
REST 100
502 Command 'REST' not implemented
This site may not allow file resuming
PWD
257 "/" is current directory.
TYPE A
200 Type set to 'A' (ASCII).
PORT 213,225,45,30,12,97
200 Port command succeeded.
LIST paar sekunden pause
425 Can't open data connection for LIST.

Hmmm.... viele Lösungen gibts jetzt aber nichtmehr.

Zu der Frage von Spunki:

Zitat

Welche ports sind denn offen

Ports habe ich gar keine offen, wenn du von außen meinst. Wenn du die Internetverbindungen von svchost.exe meinst, ist das derzeit 2x der Port "5000", aber das scheint mir vom Netzwerk zu kommen.
Die DNS-Regel hab ich nun doch lieber aktiviert gelassen.

Aber ich deaktiviere die mal, und guck ne Weile ob alles läuft. Melde mich dann, obs funzte oder ned.

@Joschi:

Zitat

Heißt das, dass Du deinen IRC verwenden kannst ???

Also verbinden kann ich ned, wenn ich die Blocked-Regel drinnen habe.
Aber wenn ich verbunden bin, kann ich die Regel einschalten und ich kann trotzdem weiterchatten.

Vielleicht weiß noch wer nen Rat...
Bei euch funktioniert die Blocked-All-Regel ganz unten überall?

#11 Ja blocked All funktioniert bei mir kannst du den über den schiebebalken block all einstellen warum du weiterchatten kannst hat folgenden grunde du hast bereits eine Tcp verbindung erlaubt Kerio beendet diese aber nicht wenn du block all reinmachst.

Für Svchost brauchst du eigentlich nur Dns aufzumachen das andere ist so eine udpnp dienst der anfällig für angriffe ist.

Funktioniert Flash vieleicht wenn du die Gateway funktion aktivierst ansonsten kann ich dir nur raten



Das mit der blocked regel könnte auch daran liegen das Norton drauf war speicher am besten dein config am deinstallier Kerio mach wieder drauf und füge die regeln wieder ein

Welche ports sind den bei dir closed und nicht stealth das meinte ich
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 Um durch den List-Befehl das Verzeichnisslisting auf dem FTP-Server zu bekommen , müssen die Ports oberhalb von 1023 für FlashFXP offen sein.
(Grübel ...die Rule in Kerio erlaubt ja alles) Ich wüsste gern die Meldung von Kerio. genau an dem Punkt, wenn der LIST-Befehl ausgeführt wird
In dem Moment werden Daten an Dich geschickt, welche scheinbar nicht bei Dir ankommen. Überprüfe bitte auch deine Zugriffs-Rechte auf dem Server (Read/write/listing/etc.) . Ansonsten sucht man möglicherweise vergeblich an der falschen Stelle

>Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 so, also das DNS läuft jedenfalls über svchost bei mir.

@joschi: Hab klarerweise die Listing / Read & Write -Rechte. Daran liegts ned.

Wenn ich Kerio deinstalliere, kann ich dann mit der zuvor gespeicherten Config-File ALLES wiederherholen, d.h. z.B. auch Microsoft Networking und die Checkboxen, Custom Adress Group etc...

DANKE
Andyka

#14 Hast Du die Norton-Angelegenheit eigentlich berreinigt ?
Zu FTP. Zugriffsrechte sind OK
Ruleseit ist OK
Bleibt noch der Client......
Teste versuchsweise mal diesen client:
http://www.psftp.de/psftp_free/psftp_13_482.zip
Sehr gelungenes Programm, das sich ohne grosse Installation einfach starten lässt. Verbindungsdaten eingeben und los...

Zitat

Wenn ich Kerio deinstalliere, kann ich dann mit der zuvor gespeicherten Config-File ALLES wiederherholen, d.h. z.B. auch Microsoft Networking und die Checkboxen, Custom Adress Group etc...

Falls das eine Frage ist : JA.
Ich selbst speicher immer die persfw.conf und filter.log.idx und stats.conf, einfach um sicher zu gehen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#15 hm liegt anscheinend wirklich am Client.
mit PsFTP komm ich rein.

Muss an den Einstellungen von FlashFXP liegen.
Hat da vielleicht wer ne Ahnung?