dummabua Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 HI, Ich will das wenn jemand meinen Rechner im internet pingt, eine Zeitüberschreitung bekommt. Ich habe versucht mit meiner Tiny Personal Firewall Vers. 4.5 per Firewall den Ping zu sperren, was aber nicht ging, da ich betreffenden ICMP Traffic über den port nicht in einer Firewall regel denyen kann. Ich habe auch versucht das Programm ping.exe, welches für die anfrage an andere clients verantwortlich ist, den (nur testweise) den in und outbound zu sperren. kEIN ERFOLG Dahh hatte ich die Idee, das über die Intrusion Detection zu sperren, und zwar indem ich einfach eine Ping.rule erstellt habe, in der ich ankommende packete ICMP über betreffende ports über einer grösse von 0 byte verwerfe bzw nicht beachte, hat auch nicht funktioniert. steh ich momentan auf der leitung? oder mach ich einen gravierenden fehler, was ich nicht hoffe merci dominik Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Original geschrieben von dummabua HI, Ich will das wenn jemand meinen Rechner im internet pingt, eine Zeitüberschreitung bekommt. Ich habe versucht mit meiner Tiny Personal Firewall Vers. 4.5 per Firewall den Ping zu sperren, was aber nicht ging, da ich betreffenden ICMP Traffic über den port nicht in einer Firewall regel denyen kann./B] Hallo, warum kannst du ICMP Traffic nicht per Firewall blocken ? Sollte das nicht ein Standard-Feature sein ? Gruß Terran Marine Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dummabua Geschrieben 24. Juni 2003 Autor Teilen Geschrieben 24. Juni 2003 es gibt eine ICMP outbound regel, die ich aber nicht anwenden kann und ich kann mir auch selber eine erstellen, in der ich ICMP 0 und 8 sperre (was auch intern ich der Firewall als "ping" betitelt ist), ich kann diese Regel nur nicht anwenden (oder ich hab noch nicht herausgefunden, wie). Nun bin ich ratlos, ich kann mir auch ned vorstellen das man damit keinen Ping Reply blocken kann, weil das sollte wirklich zum standart gehören:rolleyes: aber ich bin mir fast sicher das es irgendwo geht, nur ich dachte vielleicht, das ich irgendwo einen denkfehler drin hätte oder einen logik fehler oder so... PS: Wenn ich mich selber pinge, bekomm ich ned mal ne Firewall meldung das mich jemand pingt, also muss ich doch davon ausgehen, das es da schon eine regel gibt, in der der Reply allowed wurde oder? oder ist der eiegen Ping ein sonderfall udn ich sollte mal einen freund beauftragen mich zu pingen, vielleicht schlögt die firewall da an... Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Original geschrieben von dummabua PS: Wenn ich mich selber pinge, bekomm ich ned mal ne Firewall meldung das mich jemand pingt, also muss ich doch davon ausgehen, das es da schon eine regel gibt, in der der Reply allowed wurde oder? oder ist der eiegen Ping ein sonderfall udn ich sollte mal einen freund beauftragen mich zu pingen, vielleicht schlögt die firewall da an... Das "selber pingen" müsste ein Sonderfall sein, der Verkehr auf localhost wird und muss in der Regel nicht geblockt werden. Also mal den Kumpel fragen ... Gruß Terran Marine Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dummabua Geschrieben 24. Juni 2003 Autor Teilen Geschrieben 24. Juni 2003 du sagst "müsste" also weisst du es selber nich 100%tig genau?:confused: kennst du oder wer anders eine quelle wo das stehen könnte oder weiss es jemand SICHER ob localhost anders gehandelt wird als richtiger traffic. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Goos Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Das kann dir nur die Beschreibung deiner Firewall offenbaren. An ihr liegt es schliesslich, ob lokale Anfragen gesondert behandelt werden. Goos Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Original geschrieben von dummabua du sagst "müsste" also weisst du es selber nich 100%tig genau?:confused: kennst du oder wer anders eine quelle wo das stehen könnte oder weiss es jemand SICHER ob localhost anders gehandelt wird als richtiger traffic. Es macht keinen Sinn auf dem localhost Traffic zu sperren, deswegen "nehme ich an" das auch Tiny diese Einstellung hat. Du kannst es ja ziemlich leicht selbst ausprobieren, indem du versuchst auf eigene Ressourcen zuzugreifen und die Firewall beobachtest. Gruß Terran Marine Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DownAnUp Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Das Programm bzw. der Dienst der auf Pings "antwortet" heisst "Echo". I.d.R. reicht es also einfach den Echo Dienst zu deaktivieren. Ob das blocken von ICMP Sinn macht oder nicht ist sowieso eine endlose Diskussion... kannst dazu ja mal hier schauen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dummabua Geschrieben 24. Juni 2003 Autor Teilen Geschrieben 24. Juni 2003 nochmal frage... weil du asgst: Echo Dienst zu deaktivieren. ich hab mal bei der verwaltung unter "dienste" geschaut und keinen echo dienst gefunden. Oder is der gar ned da zu finden.:confused: Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Biotecs Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Hi, ich weiß jetzt leider auch nicht wo der Echo Dienst bei dir ist, ich könnte dir nur sagen wie man das unter Linux macht, aber das ist nicht Frage des threads. Mich würde nur interessieren, was du denn damit erreichen möchtest, wenn du ICMP sperrst? Denn wie schon gesagt wurde, weiß trotzdem jeder, daß du da bist. Soll kein Vorwurf sein, sondern nur reine Neugier, vielleicht haste ja nen bestimmten Grund. mfg Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dummabua Geschrieben 24. Juni 2003 Autor Teilen Geschrieben 24. Juni 2003 die frage hast du dir selber beantwortet:D "...sondern nur reine Neugier, vielleicht haste ja nen bestimmten Grund." Die Neugier is es! auserdem lernt man was dabei. Und wenns mal wieder jemand wissen will, dan kann ich sagen: dummabua hat gemacht:mod: Leider bin ich so ergeizig, das ich nicht aufhöre was zu probieren bis es klappt, darum dieser post:rolleyes: . Es is "nur" zum Verständniss und für mich selbst (die gewisseheit wieder etwas gelernt zu haben, wie oben erwähnt). Ich werd auch des wieder rückgängig machen wenn ich es geschafft habe. Is eigentlich "nur" Neugier. Reicht das als Begründung;) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Ich habe das mal mit der aelteren Tiny Personal Firewall 2.0 auf Win2000 getestet. Die folgenden Regeln fuehrten zum gewuenschten Ergebnis ohne Einschraenkungen fuer das LAN und den Rechner: Richtung: In-/Outbound Protocol: ICMP Type: all Address: <der verwendete LAN-Adressbereich> Action: Permit Richtung: In-/Outbound Protocol: ICMP Type: all Address: 127.0.0.1 Action: Permit Richtung: Outboud Protocol:ICMP Type: Echo Reply Address: any Action: Deny Richtung: Inbound Protocol ICMP Type: Echo Request Address: any Action: Deny Die Ping-Rueckmeldung ist der Nachrichtentyp Echo Reply und die Ping-Anfrage ist der Nachrichtentyp Echo Request vom ICMP. Mit dem echo-Dienst bzw. -Programm hat die Ping-Rueckmeldung nichts zu tun. Zumindest kann ich auf meinem Win2000 Professional kein derartiges Programm bzw. Dienst entdecken und es funktioniert trotzdem. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Biotecs Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Ja das reicht mir! Danke Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Original geschrieben von DownAnUp Das Programm bzw. der Dienst der auf Pings "antwortet" heisst "Echo". I.d.R. reicht es also einfach den Echo Dienst zu deaktivieren. Ob das blocken von ICMP Sinn macht oder nicht ist sowieso eine endlose Diskussion... kannst dazu ja mal hier schauen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken Das ICMP und 'ping reply' nichts mit echo zu tun haben hat Hades ja schon erwähnt. echo ist ein Dienst, der die von Dir gesendeten Daten zurücksendet. Du verbindest Dich z.B. über telnet mit dem echo port und tippt "Test" ein. Als Antwort erhählst Du "Test". Das blocken von ICMP macht schon Sinn, es ist nur die Frage welche Typen geblockt werden sollen und welche eben nicht. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 24. Juni 2003 Teilen Geschrieben 24. Juni 2003 Hallo, Original geschrieben von DanielB Das ICMP und 'ping reply' nichts mit echo zu tun haben hat Hades ja schon erwähnt. echo ist ein Dienst, der die von Dir gesendeten Daten zurücksendet. Du verbindest Dich z.B. über telnet mit dem echo port und tippt "Test" ein. Als Antwort erhählst Du "Test". Der Dienst "echo" (http://www.faqs.org/rfcs/rfc862.html) arbeitet auf Basis von TCP oder UDP. ICMP-Echo ist hingegen direkter Bestandteil vom ICMP (Typ 0 für Reply bzw. Typ 8 für Request) . ICMP stellt ein eigenständiges Protokoll dar, welches nicht über UDP bzw. TCP arbeitet. Wenn Du diese Pakete filtern willst, sollte dies direkt auf der Firewall durch die entsprechenden Regeln erfolgen. Nic Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Juni 2003 Teilen Geschrieben 25. Juni 2003 Hallöchen!! Ich grübel die ganze Zeit darüber, warum man überhaupt ICMP-Meldungen blocken sollte?! Sie sind ja gedacht, als diagnose werkzeug. Und wenn sich da mal ein admin, der etwas testen will verschreibt, muß der auf nen Timeout warten... Ich wäre eher für nen reject und nicht für droppen... Weiß net, ob es möglich ist mit tiny. kannst ja mal nachschauen und hast dann wieder etwas gelernt... Gruß BSO :marine Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 25. Juni 2003 Teilen Geschrieben 25. Juni 2003 Original geschrieben von nic_power Hallo, Der Dienst "echo" (http://www.faqs.org/rfcs/rfc862.html) arbeitet auf Basis von TCP oder UDP. ICMP-Echo ist hingegen direkter Bestandteil vom ICMP (Typ 0 für Reply bzw. Typ 8 für Request) . ICMP stellt ein eigenständiges Protokoll dar, welches nicht über UDP bzw. TCP arbeitet. Wenn Du diese Pakete filtern willst, sollte dies direkt auf der Firewall durch die entsprechenden Regeln erfolgen. Nic Ja, aber was hat das mit meinem Beitrag zu tun ? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DownAnUp Geschrieben 27. Juni 2003 Teilen Geschrieben 27. Juni 2003 Ähm... Das mit dem Echo ist mir jetzt ehrlich gesagt ziemlich peinlich. Das die antwort auf einen ICMP Echo Request ein ICMO Echo Reply ist war mir klar. Aber bis jetzt dachte ich wirklich das der Echo Service dafür da wäre... Aber Echo ist wirklich was anderes... *sichindieeckestellundschäm* Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beko Geschrieben 10. Juli 2003 Teilen Geschrieben 10. Juli 2003 Original geschrieben von blackswordowner Hallöchen!! Ich wäre eher für nen reject und nicht für droppen... Weiß net, ob es möglich ist mit tiny. kannst ja mal nachschauen und hast dann wieder etwas gelernt... Keine Antwort ist eben auch eine Antwort Sowas ist eine enorme Hilfe um sich irgendwelche Scriptkiddies vom Hals zu halten die deine IP über ICQ/IRC oder sonstwas rausbekommen haben und nun ihre nervigen kleinen Tools auf dich ansetzen. Viel bleibt da dann gleich auf der Strecke wenn der Ping nicht geht Einige ganz phöse Jungs pingen auch einfach ins Blaue *tztztz* Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2003 Teilen Geschrieben 10. Juli 2003 Original geschrieben von beko Viel bleibt da dann gleich auf der Strecke wenn der Ping nicht geht Was aber eigentlich ja nur wieder ein Zeichen ist, das da ein Rechner ist der den Ping "verschluckt". Falls da kein Rechner wäre würde eine Antwort kommen "Host not available" oder so. Da der Rechner aber da ist wird der Ping hingeleitet und erst dort einfach nicht beachtet. Das ist wie wenn du dich verstecken willst und dich dafür hinter den Vorhang stellt. Du meinst du bist nicht sichtbar, aber der Vorhang ist eben ziemlich ausgebeult und ausserdem sieht man deine Schuhe Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beko Geschrieben 10. Juli 2003 Teilen Geschrieben 10. Juli 2003 Deshalb schrieb ich auch dass keine Antwort auch eine Antwort ist. Das unbedarfte Scriptkiddie ist jedoch i.d.R. nicht einmal in der Lage den Vorhang von der Tapete zu unterscheiden. You see? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 10. Juli 2003 Teilen Geschrieben 10. Juli 2003 Das soll hier keine Laberbude, warum und weshalb Ping gesperrt wird, werden. Auch ist nicht gefragt worden, ob REJECT oder DROP besser ist. @Threadstarter: Wenn Du noch mehr Fragen zu diesem Problem hast, melde Dich bei mir per PN. ~~~closed~~~ Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge