ZoneAlarm verhinder Internet Zugriff über Netzwerk

vvv · 07.12.2002

Ich habe WinXP SP1 mit ZoneAlarm als Firewall ans Internet angeschlossen und will mit Win98SE via Netzwerk ins Internet.
Funktioniert wunderbar, solange ZoneAlarm aus ist.
Wenn ZoneAlarm an ist, baut XP zwar auf Geheis von 98SE ne Internetverbindung auf, es kommen jedoch keine Daten mehr durch.
Habe beide IPs in ZoneAlarm ald trusted eingetragen

HELP
THX
VVV

Egal88 · 07.12.2002

- Welche Sicherheitsstufe hast Du für die "trusted zone" eingetragen ?
- Darf der Prozess, der für das ICS zuständig ist, ins Internet ?

vvv · 07.12.2002

1.Für trusted ist very low oder so (niedrigste Sicherheitsstufe): sollte OK sein

2.Welcher Prozess ist für ICS zuständig?

THX

Egal88 · 07.12.2002

Stell' doch mal testweise alle Internet-Einträge von X auf ? und gucke, wer fragt ...

vvv · 08.12.2002

OK, werd's testen...

Egal88 · 08.12.2002

Was mir gerade noch einfällt: dieser Prozess braucht natürlich Server-Rechte für die trusted-Zone !
Und Du solltest die lokale loopback-Adresse (127.0.0.1, localhost) in die trusted Zone aufnehmen.

vvv · 13.01.2003

Ich habe das nun alles so eingestellt:
keine Firewall Aktivität in der Trusted Zone
lokale loopback-Adresse (localhost) in die trusted Zone aufgenommen

Geht nicht

Hast Du noch ne Idee?

Egal88 · 14.01.2003

Hast Du mal alle Prozesse auf ? gestellt ??

vvv · 14.01.2003

Ich versuch's nochmal...

Muss ich vielleicht auch den IE vom 2.Rechner in Zonealarm "freigeben"? Obwohl er nicht nachfragt.

ppm007 · 14.01.2003

Ich kann nur abraten, Zonealarm zu verwenden - nur Ärger
Besser: Kerio PFW

Aber zu Deinem Problem:
Trusted Zone auf LOW
Internet Zone auf MEDIUM

normalerweise funktioniert diese Software nur so.

Egal88 · 15.01.2003

Originally posted by vvv
Muss ich vielleicht auch den IE vom 2.Rechner in Zonealarm "freigeben"? Obwohl er nicht nachfragt.

Nein, normalerweise nicht, weil der sich ja in der "trusted Zone" befindet. Wenn der security-Level dafür auf "low" steht, ist alles erlaubt.
BTW:Hast Du mal probiert, das gesamte interne Subnet als trusted zu definieren ?

@ppm007: ich nutze auch die Kerio, allerdings sehe ich dabei die Gefahr, dass unerfahrene Anwender, die bei einer Nachfrage von Kerio einfach "create appropriate rule and dont't ask me again" ankreuzen, ohne diese Regel spezifischer zu konfigurieren. Dabei kann man sich ganz massive Sicherheitslöcher einfangen, weil standardmäßig alle IPs und alle Ports freigegeben werden !

ppm007 · 15.01.2003

@Egal88
Ist schon so richtig, aber was macht denn Zonealarm anders ?
Mit ZA gibts nur Probleme, mit Kerio kann man sich mit der Zeit anfreunden.

Beste Grüsse
ppm007

Egal88 · 15.01.2003

ZA gibt nur die wirklich benötigten Ports frei, Kerio ohne manuelle Anpassung alle Ports.

vvv · 16.01.2003

wo kann ich denn Kerio PFW downloaden?

wo gibt es denn eine kurze, verständlich Erklärung zu ICS, UDP, TCP und den an kryptischen Abkürzungen?

und wo erfahre ich welche Ports was braucht? zB: Emule, CS, ...

schönmal Danke für die Mühe
VVV

Egal88 · 16.01.2003

Die Kerio Personal Firewall kriegst Du hier, für Privatleute kostenlos.

Ich würde aber als Anfänger diese Firewall nicht einsetzen: die Kerio hat zwar einen "ask"-Modus, wenn man aber bei einer solchen Nachfrage den entsprechenden Verkehr erlaubt, ohne die Regel manuell anzupassen, reißt man sich schnell Löcher in seine Schutzwirkung !

Die Filterregeln sehen dann in der Zusammenfassung etwa so aus.
An diesen Regeln (Screenshot von Kerio) gibt's schon einige Punkte, die mich stören würden: die "WinRoute-Administration" und die "Services and Contoller app" dürfen auf jedem UDP-Port angesprochen werden, d.h. stellen auf jedem UDP-Port theoretisch einen Internet-Server dar!

Meine eigene Konfiguration sieht schon etwas restriktiver aus: ich poste hier demnächst mal einen Screenshot.

Wenn Du Dich nicht genau mit diesen Regeln auskennst, kannst Du dabei eine ganze Menge falsch machen !

(An alle anderen Firewall-Spezis: Diskussion erwünscht !!)

KaFu · 16.01.2003

Hi!

Nochmal zu Deinem Problem mit ZoneAlarm:
Wie Egal88 schon schrieb, musst Du Dein privates Netzwerk freigeben. Sonst filtert/blockiert natürlich ZoneAlarm alle Zugriffe von Rechnern im Netzwerk. Dass diese Zugriffe nicht von fremden Rechnern aus dem Internet kommen, kann selbst die beste Firewall nicht riechen (außer solche, die nur die PPP-Adapter überwachen). Also einfach das Kästchen vor Deiner Netzwerkkarte unter Security->Advanced anklicken. Bei PPP-Adapter darf das Kästchen nicht angeklickt sein!

Tschüß
KaFu

ppm007 · 16.01.2003

An alle anderen Firewall-Spezis: Diskussion erwünscht

Zu Zonealarm: Habs schon vor längerer Zeit runtergeworfen, aber bin mir am Beispiel Outlook Express sichern, dass ZApro mehr öffnet als der User wünscht. Hab den Port 80 extra verbieten müssen, damit sich Mails nicht die verlinkten Bilderchen ö.ä. runterladen (Verbindung aufbauen)

Wenn Kerio erlaubt wird ein Programm rauszulassen, dann ist es ok, jede Adresse und jeden Port zu erlauben. Also m.E. auch für Anfänger geeignet.
Über MS Networking werden die gefährlichen Ports verboten.

Wichtig bei Kerio ist:

- Die Filterregeln unter Advanced werden immer von oben nach unten durchgearbeitet. Als Beispiel: Wird zuerst einem Programm alles erlaubt, dann greift die Regel drunter, z.B: Port 8080 zu verbieten, nicht mehr. (Die erste Regel die gefunden wird greift)

- Erste Regel sollte "Allow all for LAN" sein: any Protocoll, any Port, Remote: nur lokale IPs, any Application. Wobei aber das Gateway z.B. Router nicht angegeben werden darf !!

-Anfangs immer die Alert Box aktivieren, dann sieht man was alles passiert.

Beste Grüße
ppm007

KaFu · 16.01.2003

@ppm007
Das mit Outlook Express müsstest Du nochmal erläutern. Du hattest sicher den Wunsch, dass Outlook Express auf das Internet zugreifen darf. Dann hattest Du plötzlich den "Sonderwunsch", dass Outlook Express doch nicht auf alle Ports zugreifen darf. Nicht, dass ich jetzt als Verteidiger von ZoneAlarm auftreten will, aber sowas kann doch das Programm nicht riechen. Gut ist aber, dass man selbst sowas hinbekommt.
Ich nehme mal an, dass Du den Port global sperren musstest. Ist das vielleicht bei anderen Firewalls anwendungsspezifisch möglich?

ppm007 · 16.01.2003

@KaFu

OE hat auf dem Port 80 normalerweise nichts zu suchen.
Ins Internet geht es über POP3 (110) und SMTP (25), und das reicht auch um Mails zuholen/senden.

Der Http wird von OE geöffnet, wenn im Vorschaufenster z.B. ein Bildchen oder Banner verlinkt ist, und bei Mails brauch ich nicht auch noch Banner.

Den Port 80 nur für OE zu sperren, geht auch bei ZApro.

Wollte mit dem Beispiel nur zeigen, dass auch ZA die Ports öffnet.

Beste Grüße
ppm007

vvv · 16.01.2003

NOCHMAL zu ZA:

ES GEHT NICHT:
dass Ihr mich nicht für bescheuert haltet hier ein Screenshot meiner Einstellungen

GAME hat den DSL Zugang
WORK soll über GAME ins INet.

ZoneAlarm verhinder Internet Zugriff über Netzwerk

vvv

Egal88

vvv

Egal88

vvv

Egal88

vvv

Egal88

vvv

ppm007

Egal88

ppm007

Egal88

vvv

Egal88

KaFu

ppm007

KaFu

ppm007

vvv

ZoneAlarm verhinder Internet Zugriff über Netzwerk

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums