Ping klappt, tracert nur bei Kerio disabled, Neotrace gar nicht

#1 Hi zusammen,

Ping klappt, tracert aber nicht.
Erst, wenn ich Kerio 4.0.10 / 11 deaktiviere (disable firewall), kann ich mit tracert tracen.
Neotrace will nicht mal bei disabled-em Kerio.
Das Programm startet nicht einmal.
Visual Route dagegen läuft.
Das Betriebssystem ist XP Home.

Ich habe schon die verschiedensten Kombinationen probiert:
"predefined network security" Einstellungen alle mit grünen Häkchen versehen und aktiviert.
Dann diese deaktiviert und den Ruleset (http://www.protecus.de/Firewall_Security/ruleset.html)
mit ICMP Regeln "advanced packet filter" aktiviert.
Und schließlich alles aktiviert und alles deaktiviert.
Natürlich war die Neotrace-Regel (http://www.pcflank.com/fw_rules_for_app.htm?appid=27) auch dabei im Ruleset.

Nichts hat geholfen.
Was ist zu tun, damit Kerio neben ping auch tracert und Neotrace durchläßt?

Danke & Gruß,
VauEs

#2 ICMP [Typ 11] Time exceeded "incoming" muss zugelassen werden.
Versuche es damit mal.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo joschi,
danke für die schnelle Antwort.

Wie geschrieben, habe ich den Ruleset aus Eurem Board verwendet (Link wurde leider nicht als solcher dargestellt- mein Fehler).
Da ist ICMP [Typ 11] Time exceeded "incoming" enthalten.
Habe es nochmal geprüft.
Dann habe ich noch ICMP [Typ 30] "Traceroute" ausprobiert, in "both".
tracert.exe zeigte nur Sternchen.

Merkwürdig, daß Visualroute v. 7.2 funktioniert.

Das Problem ist eigentlich gelöst, aber rein akademisch interessiert es mich sehr, was da los ist.
Vielleicht hat ja jemand die Lösung.

Gruß,
VauEs

#4 Also: zum akademischen Teil, habe mal nachgeblättert

Tracert ist ein UDP-Service. Schickt ein Datenpaket im Port-Range 33434-33523/UDP an das Ziel-System.
Damit provoziert Tracert absichtlich Fehlermeldungen. Zum einen vom Empfängersystem (destination unreachable, ICMP-Typ13 kommt zurück)
und zum anderen die Reaktion der Stationen zwischen Sender und Empfänger.
Von diesen erfolgt Time exceeded, ICMP-Typ 11.
Tracert ist in der Lage diese "Fehler" auszuwerten und somit auch den Weg eines Paketes vom Sender bis zum Empfänger aufzuzeigen, bzw eben bis zur letzten ansprechbaren Station.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Nachdem ich nun schon den ganzen Abend am Einrichten von Kerio bin, weiss ich nun, dass das tracert Problem mit den Intrusion-Einstellungen zusammenhängt.
Lässt man im IDS die "Low priority Intrusions" zu, klappts auch mit dem tracert.

Wie sollten diese Einstellungen denn stehn? Braucht man IDS, wenn man das ruleset von hier übernommen hat?

petzi

#6 Ich würde dem IDS den Vorzug geben, denn wie oft benötigt man schon ein tracert ?
Das Ruleset, das hier gegeben ist, ersetzt nicht das IDS. Das Ruleset ist für den Paketfilter der Firewall. Das IDS betreibt eine Überwachung an Hand einer Art von Signaturen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 hi an alle ich hab mir ma "neotrace" und "visualroute" geholt ... aber mit den ips klappt das noch nicht so richtig
-.-
warum nich ?
... n freund von mir hat mir seine ip ma gegebn und ich sollte ma raufinden wo sein standpunkt ist ... klingt komisch iss aber so
könnt ihr mir da helfn ?

#8 Die programme sind quatsch und der Standort welcher angegeben wird kann unter Umständen mehrere 1000km abweichen, abhängig von der Infrastruktur des Providers.
Daher seh ich den Sinn der Aktion die du vor hast nicht so wirklich - komisch, ist aber so
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...