Hi,

ich hab mir ne Kerio Firewall zum antesten installiert und sie läuft so auch ganz gut es gibt nur ein Problem und zwar blockiert die Firewall den Gesamten Netzwerkverkehr bei mir zu Hause, da der Rechner wo sie installiert ist auch als Router für das Heimnetz dient.

Ich habe unter "Netzwerksicherheit" > "Erweitert" > bei "Gateway-Modus" das Häckchen gesetzt und unter "Netzwerksicherheit" > "Vertraut" war einmal als Standart 192.168.0.0(255.255.255.0) eingetragen und ich hab noch für den zweiten Rechner die 192.168.0.2(255.255.255.0) eingetragen.

Allerdings blockiert die Firewall noch immer den Netzwerkverkehr und ich weiss nich was ich übersehen haben kann.
Vielleicht kann mir ja von euch einer helfen.

mfg Marwel

;D ;D ;D

Gut, jetzt im Ernst! Welches Windows genau. Wieviele NICs? ICS? Sag mal an ...

So long Ajax

Hachja irgendwas vergess ich doch meistens.

Windows is XP und geroutet wird per ICS.
Ins Internet gehts per USB-Modem und zum Netzwerk gehts über ne Netzwerkkarte und Switchport.
Die Netzwerkkarte is bei den unter "Vertraut" angegebenen NetzwerkIPs als Adapter eingetragen.

P.S.
Die interne XP Firewall is deaktiviert.

Hab die Kerio auch mal gehabt, bei der Sharewareversion ist glaub ich keine Gatewayunterstützung integriert....

Ja stimmt. Kann nur die Pro-Version ... Die Gateway-Einstellung müsste aber richtig sein.

Problem: ICS lässt kaum eine Trennung zwischen erlaubten und unerlaubten Zugriffen auf freigegebene Ressourcen im LAN zu.

Eigentlich empfiehlt man bei so einem Szenario einen Proxy-Server oder NAT(Hardware)-Router.

So long Ajax

So! Habe noch einen Link (http://www.networklab.co.uk/cmodem/winxpics.html) gefunden.

Wichtig erst einmal, dass Du erst den PFW installierst und danach erst ins Netz gehst. Schau auch mal, ob der ICS-Dienst aktiviert ist. Und Du brauchst anscheinend auch eine ausreichend hohe Versionsnummer vom Kerio ...

Gibt es nicht vielleicht andere kostenlose Firewalls die das ermöglichen??
Aba nich ZoneAlarm die fand ich mist.

Das ist ja wirklich lustig! ;) Du verlangst doch nicht wirklich, dass ich jetzt einen PFW empfehle? :eek:

Ich bin derjenige, der den Nutzen dieser Dinger immer verneint.
Na gut, weil ich heute gut drauf bin, installiere in doch erst mal auf der LAN-Seite (2.PC), da wäre er auf alle Fälle "sinnvoller". (So weit man davon reden kann ... ;) )

So long Ajax

Habe noch was gefunden.

ICS Configurations:
If this machine will be a ICS host, then you should check the 'Is Running on Internet Gateway' option, uncheck 'Log Packets Addressed to Unopened Port, and uncheck 'Log suspicious Packets in the miscellaneous area under advanced. While using an ICS configurations with the gateway option checked you must use a block all inbound rule at the end of your ruleset. In some cases it was possible to do it without check the option, but lets just do it this way so it should work. You will have to use your block all inbound rule now to drop packets to unopened ports instead of sending a closed reply if you rules don't block it first. As far as open connections go, your rules will still apply. You might have to check your logs for connections that are not working among the blocked probes.

Na ja. Viel Spass beim konfigurieren ... ;).

So long Ajax

Ich bin eigentlich auch imma gegen ne PFW gewesen aba in letzter Zeit hatte ich öfter probleme mit Virenbefall, von daher hab ich mich doch erstma zu einer PFW entschieden.

Ich hoffe auch für einen AntiVir ;)?

Was mich noch interessieren würde ... gehe mal in die Konsole und sag, was bei "ipconfig -all" (ich hoffe, der Parameter stimmt) ausgegeben wird. Es wäre interessant, wie die IPs geroutet werden, nachdem Du den PFW installiert hast. Denn der PFW müsste theoretisch auf dem NIC-Adapter noch eine Art NAT-Routing legen ...

So long Ajax

klick! (http://www.netzwerktotal.de/inetfreigabe.htm)

@Bandit

Ich weiss nich was ich damit jetzt anfangen soll, vielleicht hast du es ja nicht mitbekommen aba mein ICS geht wunderbar, von daher bringt mir dein Link nichts.

@ajax

Was interessiert dich da jetzt genau???

Ip von dem Lan Adapter is nach wie vor 192.168.0.1 und Subnetmask 255.255.255.0 und die IP vom Internet is ja sowieso dynamisch.

;) ...

So soll es sein. Nein, das was mich genau interessiert ist, eigentlich müsste noch eine/zwei IP-Adressen auftauchen, zwischen denen ein weiteres Routing durch den PFW vorkommt.

Beispiel:

von 192.169.x.x nach 172.16.x.x

Grund:

Ich versuche das Ganze mal etwas verständlicher zu machen.
Der PFW muss ja, auch wenn kein Hardware-Router dazwischen ist, den SOHO-Bereich vom WAN trennen und "unsichtbar" machen. Deswegen wird die dynamische WAN-Adresse zu einer C-Class Adresse (oder in dem Beispiel oben B-Class) geroutet werden. Diese C-Class Adresse ist dann im Internet nicht als solche sichtbar (nur WAN IP).
In Deinem Fall wird es natürlich etwas komplizierter, da Du ICS installiert hast. Hier wird der Adress-Bereich von Haus aus getrennt. Jetzt installierst Du aber zusätzlich Deinen PFW und der muss aus Funktionsgründen auf seinem NIC-Adapter dasselbe tun, um die Applikationen und zu verwaltenden Ports kontrollieren zu können. Das Ganze funktioniert halt nur, wenn Du den NetzwerkBereich trennst und dazwischen routest ...

Das Problem, das bei Dir auftritt, ist das Du die Reihenfolge der Adapter zwingend einhalten musst. Sprich der PFW auf dem ICS-Host muss ja eigentlich zwischen der WAN-IP und der ICS-IP gesetzt werden. Damit würdest Du Dein komplettes SOHO "schützen".

Wird der PFW nach dem ICS-Host (kann immer noch PC 1 sein) gesetzt. "Schützt" Du damit nur Deinen ersten Client. PC 2 bleibt davon völlig unberührt.

Das heisst, dass Du Deine Inbound/Outbound Rules je nach Fall teilweise doppelt oder unterschiedlich setzen musst.

Ich hoffe, ich habe mich einigermassen klar ausgedrückt.

Dein "ipconfig -all" würde mich deswegen wirklich interessieren ... Theoretisch muss ein weiterer Adapter vorhanden sein. Und als Admin müsste man den doch eigentlich sehen können ...

So long Ajax

-------------

edit: Irgendwie ist es schwer zu beschreiben, dass Du zwei Routings hinter einander ausführen musst.
Am einfachsten für Dich wäre es eigentlich den XP SP2 FW zu benutzen, der sollte am einfachsten zu installieren sein. Dafür kannst Du am wenigsten einstellen. Trotz alledem ist aber so, das Du durch den Einsatz von ICS bereits Firewall-Funktionen benutzt...

Also ich kann in etwa nachvollziehen was du meinst, da ich das mal gelernt hab aba is mir nich mehr so geläufig.

Also es werden 3 Adapter angezeigt, ausserdem möchte ich hinzufüggen das ich das pppoe protokol benutze um ins internet zu gehn.

1. Eth-Adapter LAN

IP: 192.168.0.1
SM: 255.255.255.0

2. Eth-Adapter Internet
IP:192.168.122.254
SM: 255.255.255.0

2. PPP-Adapter MAGX11-erx
IP: Aktuelle IP
SM: 255.255.255.0

Zu deinem edit:
Ich hab nur XP SP1, da ich von dem SP2 nich viel halte, allerdings hab ich mir alle aktuellen Security Patches geladen und hab trotzdem noch Probleme zB mit so nem Teil das sich StartPage nennt.
Nur deshalb hab ich überhaupt zur Firewall gegrifen.
Ich hab meine Dienste alle mit ner Hilfe im Inet konfiguriert und bin damit bisher immer sehr gut gefahrn und hatte auch ohne FW keine Probleme.
Aba vorgestern hab ich 6 Stunden an meim Rechner gehockt und hab Viren entfernt weil ich am Tag davor aufeinmal mit Viren & Würmern überflutet wurde.

Wie Schütz du dich denn wenn ich mal so fragen darf da du ja auch kein PFW-Fan bist!?

Ich würde mir über die Anschaffung eines Routers mit internen DSL Modem Gedanken machen.
Damit ist die Einrichtung des Netzwerks deutlich einfacher und du hast eine NAT FW im Router.

PS. Gegen klassische Viren hilft eine FW auch nicht, da brauchst du schon einen Virenscanner.

Ja, genau. VirenScanner ist angesagt. Mit möglichst aktuellem VirenPattern ...

Ich würde auch einen Hardware-Router empfehlen. Nicht unbedingt mit integrierten DSL-Modem. Na gut ist geschmackssache, aber ich mag alle SOHO-Sachen immer mit Kat5 und nicht mit USB oder anderem Gedöns... Die Dinger gibt es ohne WLAN schon ab 35,- Euro.

Der PFW bei Dir sollte übrigens am 2. Eth-Adapter sitzen...

Ich persönlich habe einen Router (Netgear RP614) und fahre meistens mit meinem Fedora Core (Linux). Du siehst, ich bin nicht unbedingt der Massstab, allerdings gehen mir die Viren und Würmer auf den Sack und nachdem ich teilweise sehr faul bin ... So kann ich hinter meinem Router ruhigen Gewissens auf AntiVir und PFW verzichten ohne das mir viel passieren kann.

Mein XP habe ich eigentlich nur noch zum Zocken ... Und da habe ich nur einen AntiVir installiert und meine nicht benötigten Dienste deaktiviert. Gut, ich surfe auch nicht mit Admin-Rechten ... und benutze weder IE noch Outlook ...
Das war es eigentlich schon ...

So long Ajax

Ja, genau. VirenScanner ist angesagt. Mit möglichst aktuellem VirenPattern ...

Ich würde auch einen Hardware-Router empfehlen. Nicht unbedingt mit integrierten DSL-Modem. Na gut ist geschmackssache, aber ich mag alle SOHO-Sachen immer mit Kat5 und nicht mit USB oder anderem Gedöns... Die Dinger gibt es ohne WLAN schon ab 35,- Euro.
So long Ajax
Da er aber ein USB DSL Modem hat wird es schwierig nur einen Router zu kaufen.
Oder gibt es Router die USB Modems unterstützen? (ernste Frage)
Wann ja, reicht auch so ein Router.

PS. Ich gehe auch über einen RP614v2 ins Netz.

USB (http://www.2-com.de/produkte/draytek/draytek_vigor2200_serie/vigor2200usb.htm) -Router ??

Sollte es doch geben ... ;)

So long Ajax

USB (http://www.2-com.de/produkte/draytek/draytek_vigor2200_serie/vigor2200usb.htm) -Router ??

Sollte es doch geben ... ;)

So long Ajax
Danke, wieder was gelernt.

Hm naja Linux will ich mir schon ne halbe ewigkeit auf mein großen spielen aba komm da nie zu.

N Hardwarerouter kommt für mich auch nicht wirklich in Frage da ich die kosten für so etwas selber tragen müsste und mir mein Geld wichtiger ist.
Virenscanner hab ich sowieso schon imma laufen(Antivir).
Ich hab auch wirklich kein Interesse an ner Firewall(eigentlich) aba ich hab plötzliche tierische Probleme zB mit ner bargains,exe und wowexec.exe und Elite Searchbar und ich weiss nicht woher das kommt, nur daher hab ich die FW insalliert.

Das Modem hat übrigens auch ne interne FW aba die fand ich auch Bockmist.
Wenn ich nicht plötzlich die Probleme hätte würd ich mir den ganzen Mist sparen.