Lange Wartezeit bis Telnet Login

Message
Author
Joggel

Re: Lange Wartezeit bis Telnet Login

#16 Post by Joggel »

Du verstehst mich nicht richtig. Ich erklär jetzt noch mal ganz genau meinen Fall.

Hier erst mal ein genauer Auszug aus dem Logfile:
1,[27/Dec/2001 19:30:46] Rule 'Packet to unopened port received': : In TCP, xerxes.cx3 [192.168.0.2:32790]->localhost:113, Owner: No owner

>> Das Problem ist das da kein Programm an dem Port wartet um zu antworten, deshalb sperrt die FW wenn was ankommt.

>Kurz: Du sperrst also Programme die nicht existieren

Ich weiß ja nicht was die FW genau mit dem Packet macht. Ich weiß nur das ich den Port explizit geöffnet habe.

>>Wenn ich sie ausschalten könnte, dann hätte ich sie ja gar nicht installieren brauchen.

>Stimmt und warum hast du dann?

Wozu installiert man den eine FW. Das will ich hier jetzt eigentlich nicht genauer ausführen, da? solltest du dir denken können.

>Also ich versuche das jetzt ein letztes mal. Diese Aussage ist schlichtweg falsch. Dass kannst du nun glauben oder nicht.
>Aber wieso soll die Tiny-Software A machen (Pakete verwerfen), wenn du B (Pakete druchlassen) eingestellt hast?

Ich weiß ja nicht das ob die FW die Packete verwirft. Die Logmeldung besagt ja nur: "Packet to unopened port received". Ich nehme mal an daß das bedeutet, das der Port nicht geöffnet ist, weil kein Programm an dem Port wartet. Was dann ja nicht unbedingt heißt das die FW das Packet verwirft.

Um noch ein bischen mehr Klarheit zu schaffen, wenn ein Packet nicht durchgelassen wird steht in dem Logfile "Blocked" was dann wohl bedeutet daß das Packet geblockt wurde.

>Ich habe mir gerade eben mal das Programm installiert. Dort besteht sehr wohl die Möglichkeit den Port gezielt freizugeben (war zwar klar, aber das >Programm hat mich sowieso interessiert). Das ändert aber nichts an deiner falschen Aussage (Das Problem ist das da kein Programm an dem Port wartet >um zu antworten, deshalb sperrt die FW wenn was ankommt)

Das mit dem "deshalb sperrt die FW wenn was ankommt" war vielleicht ein bischen falsch ausgedrückt. Was die FW genau mit dem Packet macht weiß ich auch nicht, zummindest logt sie die oben geschrieben Meldung in das Logfile.

Das man da gezielt einen Port freimachen kann hab ich nie bestritten. Das hab ich ja auch gemacht, hat aber nix geholfen. Es steht die selbe Meldung im Logfile. Mal abgesehen daß das bei mir eigentlich nicht nötig währe, da ich eine Regel drin habe die alles, was vom Lan kommt, durchlässt.

Mein Problem ist ja jetzt einfach das ich, wenn ich mich per Telnet auf einen Linux-Rechner anmelden will, muß ich ca. 5sek warten bis das Login kommt. In diesen 5 sek kommt auch immer die Meldung die auch ganz oben steht. Dann läuft aber alles ohne Probleme weiter.
Jetzt kommt das verwirrende: Wenn ich die FW ausschalte dauert es keine 5 sek. Aber wo ist dann der Unterschied wenn ich die FW ausgeschaltet habe wartet ja immer noch kein Programm an dem Port. Und da ich die FW ja nicht ausschalten will, weiß ich auch nicht was ich noch machen soll. Da ich ja den Port schon freigegeben habe, kann ich ihn ja nicht nochmal freigeben.

Mal davon abgesehen bin ich mit der Tiny FW relativ zufrieden.

joggel

Re: Lange Wartezeit bis Telnet Login

#17 Post by joggel »

Ich habe jetzt mal was genaueres rausgefunden. Wenn die FW an ist dann setzt sie den Port den Port 113 auf "stealthed" weil ja kein Programm da wartet. Wenn da ein Programm warten würde, würde sie den Port natürlich öffnen.
Wenn die FW dagegen aus ist steht der Port ja nur auf "closed" und nicht auf "stealthed", weshalb dann auch der Login gleich kommt. Im anderen wartet er erst auf denn Timeout des Packets.
Ich kann halt der FW nicht sagen das sie den einen Port auf "closed" anstatt auf "stealthed" stellen soll.

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Lange Wartezeit bis Telnet Login

#18 Post by trinity »

Also, ich verstehe dein Problem immer noch nicht.
1. Ich habe nochmals Port 113 freigegeben
2. ich habe logging aktiviert (was für Ports die ich freigegeben habe normalerweise unsinnig ist)
3. bei mir steht jetzt folgendes da: Permitted...
4. ich habe das komplette interne Netzwerk als Trusted eingetragen (damit brauche ich Punkt 1 gar nicht mehr)
5. die reihenfolge der Regeln ist wichtig
5. Schau dir bitte mal folgende Links an:
<a href="http://www.fefe.de/pffaq/" target="_blank"><!--auto-->http://www.fefe.de/pffaq/</a><!--auto-->
<a href="http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html" target="_blank"><!--auto-->http://www.iks-jena.de/mitarb/lutz/usen ... <!--auto-->
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

Post Reply