ST 546 und portforwarding?

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.

Beitragvon Schiwi » So 01 Okt, 2006 19:40

zid hat geschrieben:>"...beim 546 gibts aber nur die Möglichkeit mittels anwendung und port..."
geht wie b. schrottgulli1, also:

1. nat:
=>nat tmpladd intf=Internet type=nat outside_addr=0.0.0.1 inside_addr=lan.addr.deines.icmp-responders protocol=icmp

2. route ins lan prĂĽfen, mĂĽĂźten passen.

3. firewall öffnen:
=>firewall rule add chain=forward_level_Standard* name=my_icmp srcintf=_In
ternet** dstintf=_LocalNetwork** serv=icmp log=enabled state=enabled action=accept
*abhängig v. eingest. level
**diese namen können variieren, nachschauen.

gut ping :-)


wenn ich das richtig lese gehts da (bei dem FW eintrag)um eingehenden Ping
mir gehts eigenlich um den ausgehenden

muss ich da auch nen eintrag machen?
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon ANOther » Mo 02 Okt, 2006 10:20

mir gehts eigenlich um den ausgehenden


dein ping ausgehend geht nicht???
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon diskette » Mo 02 Okt, 2006 10:56

ping mal 195.3.96.67
dort ist icmp sicher eingeschalten.
zB www.orf.at geht nicht. dort ist icmp deaktiviert.
du kriegst nur die ip zurĂĽck aber keinen ping
diskette
Board-User Level 3
Board-User Level 3
 
Beiträge: 1153
Registriert: So 13 Aug, 2006 11:07
Wohnort: Niederneukirchen

Beitragvon Schiwi » Mo 02 Okt, 2006 11:31

diskette hat geschrieben:ping mal 195.3.96.67
dort ist icmp sicher eingeschalten.
zB www.orf.at geht nicht. dort ist icmp deaktiviert.
du kriegst nur die ip zurĂĽck aber keinen ping


werds versuchen wenn ich zu Hause bin.
das orf.at icmp aus hat wusste ich gar nicht :oops:

Aber sollte ich mal dyndns etc benötigen weis ich ja was ich zu tun habe!

bzw wie ich eingehende verbindungen an der FW zulasse da das 546 nur die Ebenen anbietet (alles verhindern,eingehende verhindern und aus)

Kannst du mir hierzu sagen wie da spezielle ports nun zulasse!


[ firewall.ini ]

config state=enabled keep=disabled tcpchecks=exact udpchecks=enabled icmpchecks=enabled logdefault=enabled logthreshold=enabled tcpwindow=65536
debug traceconfig tcpchecks=disabled udpchecks=disabled icmpchecks=disabled sink=none forward=none source=none
rule add chain=source_fire index=1 name=AnyTraffic log=disabled state=enabled action=accept
rule add chain=forward_level_BlockAll index=1 name=AnyTraffic log=disabled state=enabled action=drop
rule add chain=forward_level_Standard index=1 name=FromLAN srcintf=lan log=disabled state=enabled action=accept
rule add chain=forward_level_Disabled index=1 name=AnyTraffic log=disabled state=enabled action=accept
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon zid » Mo 02 Okt, 2006 13:35

>"...wenn ich das richtig lese gehts da (bei dem FW eintrag)um eingehenden Ping..."
ja

>"...mir gehts eigenlich um den ausgehenden
muss ich da auch nen eintrag machen?..."
nein, wenn du fw. level "Standard" oder "Disabled" gesetzt hast (s. deine regeln)

>"...bzw wie ich eingehende verbindungen an der FW zulasse da das 546 nur die Ebenen anbietet (alles verhindern,eingehende verhindern und aus)..."
die "ebenen" sind nur kurzbezeichnungen fĂĽr forward ketten u. regeln. die fw. d. st ist e. voll konfigurierbarer
paketfilter (stateful), du kannst alles machen, was du so im alltag brauchst.
Insgesamt besteht d. fw. konzept d. st a. 2 teilen: nat-engine u. paket filter. die hauptarbeit wird v.d. nat engine verrichtet.
dieses nette maschinchen kennt 3 betriebszustände:
"disabled": hmm, den hab' ich nicht durchschaut ;-)
"enabled": d. default modus f. d. wan schnittstelle. pakete mit nat eintrag werden modifiziert, d. rest wird still verworfen, sodaĂź d. paketfilter meist gar nicht zum zug kommt.
"transparent": pakete mit nat eintrag werden modifiziert, jene ohne eintrag gehen a. router u. paket filter weiter. ihr schicksal ist durch d. ketten u. regeln d. fw. bestimmt. (d. betriebsmodus hat nichts m. transparent nat zu tun).

>"...Kannst du mir hierzu sagen wie da spezielle ports nun zulasse!..."
hihi, der ist gut :-) , dieses thema ist im forum schon hundertmal diskutiert worden, zuletzt weiter oben und m. schrottgulli, diskette hat eine wunderschöne anleitung geschrieben... ich denke, da sollten keine fragen mehr auftreten.
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon diskette » Mo 02 Okt, 2006 16:19

falls die frage auftaucht:´
ping zu orf:
Ping www.orf.at [194.232.104.35] mit 32 Bytes Daten:
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Ping-Statistik fĂĽr 194.232.104.35:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
der name wird in die ip "aufgelöst", doch der host ist per icmp nicht erreichbar.
gibst du die ip 194.232.104.35 in den browser kommst du zum orf.
diskette
Board-User Level 3
Board-User Level 3
 
Beiträge: 1153
Registriert: So 13 Aug, 2006 11:07
Wohnort: Niederneukirchen

Beitragvon Schiwi » Mo 02 Okt, 2006 19:36

diskette hat geschrieben:falls die frage auftaucht:´
ping zu orf:
Ping www.orf.at [194.232.104.35] mit 32 Bytes Daten:
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Ping-Statistik fĂĽr 194.232.104.35:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
der name wird in die ip "aufgelöst", doch der host ist per icmp nicht erreichbar.
gibst du die ip 194.232.104.35 in den browser kommst du zum orf.


Ping funktioniert in der Tat, mein fehler :rofl:

Nur funktioniert der NTP dienst von windows nicht. habe nun schon den ntp dienst Port123 eingetragen aber leider gehts net

@zid

SOrry das ich trotzdem zu dumm bin, bei manchen sachen brauch ich halt länger bis ichs kapier da ich leider immer zu kompliziert denke =)
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon ANOther » Mo 02 Okt, 2006 20:09

@schiwi:
vergessen wir mal alles, was da oben schon steht:
was genau willst du machen?
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon Schiwi » Di 03 Okt, 2006 19:25

ANOther hat geschrieben:@schiwi:
vergessen wir mal alles, was da oben schon steht:
was genau willst du machen?


ich will das die zeitaktualisierung von windows wieder geht
(ntp/ port 123)

NUn ist in der user ini die ich von diskette.at habe schon bei den anwendungsfreigben eine eintrag dabei den ich aktiviert habe aber nix.

Wie kann ich prĂĽfen ob der request ĂĽberhaupt ĂĽber den Router drĂĽber kommt?

Bzw wie ein portforwarding einrichten (einfach bitte)
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon diskette » Mi 04 Okt, 2006 11:13

portforwarding ist passiv.
dh du schaltest ein port am router, zu einem pc intern durch.
dh der pc ist auf jenem port vom internet aus erreichbar.
nach aussen musst du den port in der firewall freigeben
( was ( glaube ich) standardmäßig eingeschalten ist)
diskette
Board-User Level 3
Board-User Level 3
 
Beiträge: 1153
Registriert: So 13 Aug, 2006 11:07
Wohnort: Niederneukirchen

Beitragvon zid » Mi 04 Okt, 2006 17:06

>"...Wie kann ich prĂĽfen ob der request ĂĽberhaupt ĂĽber den Router
drĂĽber kommt?..."

1. tcpdump a. st aktivieren:
=>ip debug traceconfig input=-telnet forward=-telnet output=-telnet drop=-telnet mode=line arp=none

2. ntp client reboot

3. output v. tcpdump anschauen (telnet+strg-q, stop m. strg-s), da wird e. menge vorbeirauschen (schau nach möglichkeit, daß du d. konsolenpuffer möglichst groß, am besten unbegrenzt, machst). die für dich relevanten einträge haben d. folgende form (schnittstellennamen können variieren):

ntp request:
[IN]LocalN-> : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[FW]LocalN->Shared : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[UT]LocalN->Shared : <deine.dyn.public.ip> <ip.von.zeit.server>.... UDP napt-hi-udp-port -> 123

ntp reply:
[IN]Shared-> : <ip.von.zeit.server> <deine.dyn.public.ip>....UDP 123 -> napt-hi-udp-port
[FW]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client>.... UDP 123 -> 123
[UT]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client> ... UDP 123 -> 123


wenn d. request nicht rausgeht, dann hast du wahrscheinlich d. zeitdienst a. rechner nicht aktiviert (kenn mich b. win nicht aus).
wenn d. reply gekübelt wird, dann mußt du d. st fw. f. udp 123 aufmachen, sollte aber nicht passieren, wie diskette schon erwähnt hat.

>"...Bzw wie ein portforwarding einrichten (einfach bitte)..."
con. ist outbound, brauchst also kein pforw. (s. diskette)
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon Schiwi » Fr 06 Okt, 2006 09:17

zid hat geschrieben:>"...Wie kann ich prĂĽfen ob der request ĂĽberhaupt ĂĽber den Router
drĂĽber kommt?..."

1. tcpdump a. st aktivieren:
=>ip debug traceconfig input=-telnet forward=-telnet output=-telnet drop=-telnet mode=line arp=none

2. ntp client reboot

3. output v. tcpdump anschauen (telnet+strg-q, stop m. strg-s), da wird e. menge vorbeirauschen (schau nach möglichkeit, daß du d. konsolenpuffer möglichst groß, am besten unbegrenzt, machst). die für dich relevanten einträge haben d. folgende form (schnittstellennamen können variieren):

ntp request:
[IN]LocalN-> : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[FW]LocalN->Shared : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[UT]LocalN->Shared : <deine.dyn.public.ip> <ip.von.zeit.server>.... UDP napt-hi-udp-port -> 123

ntp reply:
[IN]Shared-> : <ip.von.zeit.server> <deine.dyn.public.ip>....UDP 123 -> napt-hi-udp-port
[FW]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client>.... UDP 123 -> 123
[UT]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client> ... UDP 123 -> 123


wenn d. request nicht rausgeht, dann hast du wahrscheinlich d. zeitdienst a. rechner nicht aktiviert (kenn mich b. win nicht aus).
wenn d. reply gekübelt wird, dann mußt du d. st fw. f. udp 123 aufmachen, sollte aber nicht passieren, wie diskette schon erwähnt hat.

>"...Bzw wie ein portforwarding einrichten (einfach bitte)..."
con. ist outbound, brauchst also kein pforw. (s. diskette)


ok. hab das noch net versucht aber wenn ich die Firewall auschalte sollte es ja gehen oder? nur gehts halt net.

con. ist outbound, brauchst also kein pforw. (s. diskette)

Habe ich das richtig verstandnen? Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon jutta » Fr 06 Okt, 2006 10:21

> Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu

nicht einmal fw-freigabe, weil firewalls per default so eingestellt sind, dass sie outgoing alles durchlassen und incoming alles blocken, ausser antworten auf outgoing packets.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Schiwi » Fr 06 Okt, 2006 10:51

jutta hat geschrieben:> Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu

nicht einmal fw-freigabe, weil firewalls per default so eingestellt sind, dass sie outgoing alles durchlassen und incoming alles blocken, ausser antworten auf outgoing packets.


Meinst du nun Hardware FW oder Sofwarefirewalls?

Das wäre ja schrecklich wenn die per defauflt alles rauslassen!
Schiwi
Board-User Level 2
Board-User Level 2
 
Beiträge: 996
Registriert: Do 18 Nov, 2004 11:50

Beitragvon jutta » Fr 06 Okt, 2006 10:57

ich meine hw-firewalls. und was waere daran schrecklich? wenn du eine kindersicherung willst, musst du eine kindersicherung nehmen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

VorherigeNächste

ZurĂĽck zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: Google [Bot], Majestic-12 [Bot] und 109 Gäste