xDSL.at

[Schiwi]

>"...beim 546 gibts aber nur die Möglichkeit mittels anwendung und port..."
geht wie b. schrottgulli1, also:

1. nat:
=>nat tmpladd intf=Internet type=nat outside_addr=0.0.0.1 inside_addr=lan.addr.deines.icmp-responders protocol=icmp

2. route ins lan prüfen, müßten passen.

3. firewall öffnen:
=>firewall rule add chain=forward_level_Standard* name=my_icmp srcintf=_In
ternet** dstintf=_LocalNetwork** serv=icmp log=enabled state=enabled action=accept
*abhängig v. eingest. level
**diese namen können variieren, nachschauen.

gut ping

wenn ich das richtig lese gehts da (bei dem FW eintrag)um eingehenden Ping
mir gehts eigenlich um den ausgehenden

muss ich da auch nen eintrag machen?

[ANOther]

mir gehts eigenlich um den ausgehenden

dein ping ausgehend geht nicht???

[diskette]

ping mal 195.3.96.67
dort ist icmp sicher eingeschalten.
zB www.orf.at geht nicht. dort ist icmp deaktiviert.
du kriegst nur die ip zurück aber keinen ping

[Schiwi]

ping mal 195.3.96.67
dort ist icmp sicher eingeschalten.
zB www.orf.at geht nicht. dort ist icmp deaktiviert.
du kriegst nur die ip zurück aber keinen ping

werds versuchen wenn ich zu Hause bin.
das orf.at icmp aus hat wusste ich gar nicht

Aber sollte ich mal dyndns etc benötigen weis ich ja was ich zu tun habe!

bzw wie ich eingehende verbindungen an der FW zulasse da das 546 nur die Ebenen anbietet (alles verhindern,eingehende verhindern und aus)

Kannst du mir hierzu sagen wie da spezielle ports nun zulasse!


[ firewall.ini ]

config state=enabled keep=disabled tcpchecks=exact udpchecks=enabled icmpchecks=enabled logdefault=enabled logthreshold=enabled tcpwindow=65536
debug traceconfig tcpchecks=disabled udpchecks=disabled icmpchecks=disabled sink=none forward=none source=none
rule add chain=source_fire index=1 name=AnyTraffic log=disabled state=enabled action=accept
rule add chain=forward_level_BlockAll index=1 name=AnyTraffic log=disabled state=enabled action=drop
rule add chain=forward_level_Standard index=1 name=FromLAN srcintf=lan log=disabled state=enabled action=accept
rule add chain=forward_level_Disabled index=1 name=AnyTraffic log=disabled state=enabled action=accept

[zid]

>"...wenn ich das richtig lese gehts da (bei dem FW eintrag)um eingehenden Ping..."
ja

>"...mir gehts eigenlich um den ausgehenden
muss ich da auch nen eintrag machen?..."
nein, wenn du fw. level "Standard" oder "Disabled" gesetzt hast (s. deine regeln)

>"...bzw wie ich eingehende verbindungen an der FW zulasse da das 546 nur die Ebenen anbietet (alles verhindern,eingehende verhindern und aus)..."
die "ebenen" sind nur kurzbezeichnungen für forward ketten u. regeln. die fw. d. st ist e. voll konfigurierbarer
paketfilter (stateful), du kannst alles machen, was du so im alltag brauchst.
Insgesamt besteht d. fw. konzept d. st a. 2 teilen: nat-engine u. paket filter. die hauptarbeit wird v.d. nat engine verrichtet.
dieses nette maschinchen kennt 3 betriebszustände:
"disabled": hmm, den hab' ich nicht durchschaut
"enabled": d. default modus f. d. wan schnittstelle. pakete mit nat eintrag werden modifiziert, d. rest wird still verworfen, sodaß d. paketfilter meist gar nicht zum zug kommt.
"transparent": pakete mit nat eintrag werden modifiziert, jene ohne eintrag gehen a. router u. paket filter weiter. ihr schicksal ist durch d. ketten u. regeln d. fw. bestimmt. (d. betriebsmodus hat nichts m. transparent nat zu tun).

>"...Kannst du mir hierzu sagen wie da spezielle ports nun zulasse!..."
hihi, der ist gut , dieses thema ist im forum schon hundertmal diskutiert worden, zuletzt weiter oben und m. schrottgulli, diskette hat eine wunderschöne anleitung geschrieben... ich denke, da sollten keine fragen mehr auftreten.

[diskette]

falls die frage auftaucht:´
ping zu orf:
Ping www.orf.at [194.232.104.35] mit 32 Bytes Daten:
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Ping-Statistik für 194.232.104.35:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
der name wird in die ip "aufgelöst", doch der host ist per icmp nicht erreichbar.
gibst du die ip 194.232.104.35 in den browser kommst du zum orf.

[Schiwi]

falls die frage auftaucht:´
ping zu orf:
Ping www.orf.at [194.232.104.35] mit 32 Bytes Daten:
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Antwort von 194.232.104.35: Zielhost nicht erreichbar.
Ping-Statistik für 194.232.104.35:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
der name wird in die ip "aufgelöst", doch der host ist per icmp nicht erreichbar.
gibst du die ip 194.232.104.35 in den browser kommst du zum orf.

Ping funktioniert in der Tat, mein fehler

Nur funktioniert der NTP dienst von windows nicht. habe nun schon den ntp dienst Port123 eingetragen aber leider gehts net

@zid

SOrry das ich trotzdem zu dumm bin, bei manchen sachen brauch ich halt länger bis ichs kapier da ich leider immer zu kompliziert denke

[ANOther]

@schiwi:
vergessen wir mal alles, was da oben schon steht:
was genau willst du machen?

[Schiwi]

@schiwi:
vergessen wir mal alles, was da oben schon steht:
was genau willst du machen?

ich will das die zeitaktualisierung von windows wieder geht
(ntp/ port 123)

NUn ist in der user ini die ich von diskette.at habe schon bei den anwendungsfreigben eine eintrag dabei den ich aktiviert habe aber nix.

Wie kann ich prüfen ob der request überhaupt über den Router drüber kommt?

Bzw wie ein portforwarding einrichten (einfach bitte)

[diskette]

portforwarding ist passiv.
dh du schaltest ein port am router, zu einem pc intern durch.
dh der pc ist auf jenem port vom internet aus erreichbar.
nach aussen musst du den port in der firewall freigeben
( was ( glaube ich) standardmäßig eingeschalten ist)

[zid]

>"...Wie kann ich prüfen ob der request überhaupt über den Router
drüber kommt?..."

1. tcpdump a. st aktivieren:
=>ip debug traceconfig input=-telnet forward=-telnet output=-telnet drop=-telnet mode=line arp=none

2. ntp client reboot

3. output v. tcpdump anschauen (telnet+strg-q, stop m. strg-s), da wird e. menge vorbeirauschen (schau nach möglichkeit, daß du d. konsolenpuffer möglichst groß, am besten unbegrenzt, machst). die für dich relevanten einträge haben d. folgende form (schnittstellennamen können variieren):

ntp request:
[IN]LocalN-> : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[FW]LocalN->Shared : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[UT]LocalN->Shared : <deine.dyn.public.ip> <ip.von.zeit.server>.... UDP napt-hi-udp-port -> 123

ntp reply:
[IN]Shared-> : <ip.von.zeit.server> <deine.dyn.public.ip>....UDP 123 -> napt-hi-udp-port
[FW]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client>.... UDP 123 -> 123
[UT]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client> ... UDP 123 -> 123


wenn d. request nicht rausgeht, dann hast du wahrscheinlich d. zeitdienst a. rechner nicht aktiviert (kenn mich b. win nicht aus).
wenn d. reply gekübelt wird, dann mußt du d. st fw. f. udp 123 aufmachen, sollte aber nicht passieren, wie diskette schon erwähnt hat.

>"...Bzw wie ein portforwarding einrichten (einfach bitte)..."
con. ist outbound, brauchst also kein pforw. (s. diskette)

[Schiwi]

>"...Wie kann ich prüfen ob der request überhaupt über den Router
drüber kommt?..."

1. tcpdump a. st aktivieren:
=>ip debug traceconfig input=-telnet forward=-telnet output=-telnet drop=-telnet mode=line arp=none

2. ntp client reboot

3. output v. tcpdump anschauen (telnet+strg-q, stop m. strg-s), da wird e. menge vorbeirauschen (schau nach möglichkeit, daß du d. konsolenpuffer möglichst groß, am besten unbegrenzt, machst). die für dich relevanten einträge haben d. folgende form (schnittstellennamen können variieren):

ntp request:
[IN]LocalN-> : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[FW]LocalN->Shared : <lan.ip.ntp.client> <ip.von.zeit.server> .... UDP 123->123
[UT]LocalN->Shared : <deine.dyn.public.ip> <ip.von.zeit.server>.... UDP napt-hi-udp-port -> 123

ntp reply:
[IN]Shared-> : <ip.von.zeit.server> <deine.dyn.public.ip>....UDP 123 -> napt-hi-udp-port
[FW]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client>.... UDP 123 -> 123
[UT]Shared->LocalN : <ip.von.zeit.server> <lan.ip.ntp.client> ... UDP 123 -> 123


wenn d. request nicht rausgeht, dann hast du wahrscheinlich d. zeitdienst a. rechner nicht aktiviert (kenn mich b. win nicht aus).
wenn d. reply gekübelt wird, dann mußt du d. st fw. f. udp 123 aufmachen, sollte aber nicht passieren, wie diskette schon erwähnt hat.

>"...Bzw wie ein portforwarding einrichten (einfach bitte)..."
con. ist outbound, brauchst also kein pforw. (s. diskette)

ok. hab das noch net versucht aber wenn ich die Firewall auschalte sollte es ja gehen oder? nur gehts halt net.

con. ist outbound, brauchst also kein pforw. (s. diskette)

Habe ich das richtig verstandnen? Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu

[jutta]

> Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu

nicht einmal fw-freigabe, weil firewalls per default so eingestellt sind, dass sie outgoing alles durchlassen und incoming alles blocken, ausser antworten auf outgoing packets.

[Schiwi]

> Alle ausgehenden request bauchen kein Forwarding? nur FW Freigabe? wäre mir aber neu

nicht einmal fw-freigabe, weil firewalls per default so eingestellt sind, dass sie outgoing alles durchlassen und incoming alles blocken, ausser antworten auf outgoing packets.

Meinst du nun Hardware FW oder Sofwarefirewalls?

Das wäre ja schrecklich wenn die per defauflt alles rauslassen!

[jutta]

ich meine hw-firewalls. und was waere daran schrecklich? wenn du eine kindersicherung willst, musst du eine kindersicherung nehmen.