Moderator: Lancom-Systems Moderatoren
Hä? Achso, das soll man ja nicht sagen. Also - Wie bitte?Auch bei mir gibt es eine ALLOW_PING_OUT-Regel, wie du sie pflegst
ok - der Regelname ist an dieser Stelle nicht ganz korrekt, aber da steht ja auch 'z.B. ping'. Und eine Abhandlung über ICMP-Typen im Ref-Manual halte ich für überflüssig. Und ich will gar nicht an jene denken, die unbedarft nach Aktivierung einer speziellen ALLOW_PING Regel sich darüber aufregen, warum trace-route nicht mehr funktioniert.auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben.
Das ist richtig.Dazu auch noch eine Frage. Wenn ich die "Basic Internet" DENY ALL Strategie so umsetze wie im Handbuch, ohne das ALLOW_PING würde ICMP doch auch komplett blockiert werden, oder nicht?
Steht doch direkt da: "Für Diagnosezwecke empfiehlt sich ferner die Freischaltung des ICMP-Protokolls". Obwohl ich das etwas anders formulieren würde.Wenn diese Pakete nicht blockiert werden sollten, warum gibt Lancom dann solch eine Empfehlung nicht an dieser Stelle im Handbuch aus.
Meine Empfehlung: Lass es sein. Erlaube prinzipiell ICMP und verbiete nur die Typen, die nach Deiner Ansicht gefährlich sein könnten - aber auch nur dann, wenn Du genau weisst, was Du tust.Wie müsste den nun eine korrekte ALLOW_PING Regel aussehen? Ich gebe zu ich kenn mich was die Protokolle, Codes und Typen angeht überhaupt nicht aus. Wo müsste man den die Typen 0 und 8 in der Regel notieren?
Habe ich etwas überlesen ...habe ich etwas verpasst ...Ich wollte nur bestätigen, dass du nicht der einzigste bist, der so eine Regel in die FW aufgenommen hat ...mehr sagt das nicht aus ! Also mach dir darüber keine GedankenDSL10Off hat geschrieben: Hä? Achso, das soll man ja nicht sagen. Also - Wie bitte?
Aber trotzdem hilft mir das in der Sache noch nicht weiter.
Halte ich persönlich nichts davon, da nur der Ping auf deine ISP-IP(also extern) geblockt wird. Was bringt das, außer das potentielle Angreifer dadurch eventuell verstärktes Interesse zeigenDSL10Off hat geschrieben: Ich habe jedenfalls über die DefaultRoute den StrealthModus aktiviert.
Richtig, sonst hätte ich´s ja nicht bemerkteddia hat geschrieben: die sind dann aber nicht durch eine ICMP-Regel sondern durch das IDS abgefangen worden.
Da habe ich wohl was falsch verstanden. Habe irgendwie nicht gemerkt, das du dich auf die Aussage in einem früheren Post beziehst. Hat sich erledigt.Habe ich etwas überlesen ...habe ich etwas verpasst ...Ich wollte nur bestätigen, dass du nicht der einzigste bist, der so eine Regel in die FW aufgenommen hat ...mehr sagt das nicht aus ! Also mach dir darüber keine Gedanken
Dann ist das ja durchaus eine Massnahme ...alles andere wäre eh eine Glaubensfrage ...Was wäre wenn, was könnte wenn und was nicht ...!?!DSL10Off hat geschrieben: bin ich auf dyndns nicht angewiesen, weil ich keinerlei Dienste (z.B. Webserver) anbiete.
ja und? Warum vertraust Du diesen an den Haaren herbeigezogenen Kriterien? grc.com ist Müll!Wenn ich z.B. den ShieldsUp Test bei grc.com mit deaktiviertem Stealth mache, wird der Test nach deren Kriterien nicht bestanden.
Schon mal darüber nachgedacht, dass Du mit jeder Anfrage an einen Host im Internet Deine IP bekannt gibst? Und ein Scannen per ICMP ist nicht üblich - hier wird direkt nach Diensten auf Ports gesucht.Ich dachte immer, das die auf alle Fälle immer einen Ping auf einen Adressbereich machen, um herauszufinden, wo überhaupt eine Maschine zu finden ist.
Genau. Sonst würde der Anfragende ein 'host' oder 'network unreachable' erhalten.Oder ist das Ausbleiben eines Echo Reply ein verräterisches Anzeichen?
