Palomuuri - ICMP-paketit - F1 Forum

Dominic

Dominic

Senior Member
Liittynyt
9.2.2000
Viestit
47813
Sijainti
Turku
En ole näiden palomuurien kanssa kovinkaan tuttuja, ja asensin tuossa Sygaten palomuurin.

Annoin luvat tietyille ohjelmile nettiä käyttää, mutta sitten esimerkiksi F1 Forumiin postattaessa normaaliasetuksilla postaus ei mene läpi.

Kun painan Submit-nappia, Mozilla ilmoittaa vaan alalaidassa Waiting www.f1-forum.fi... IE:lläkään ei tuo postaus onnistu.

Vilkaisin palomuurin logeja ja siellä oli lähtevä ICMP-paketti blokattuna.

Kun annoin oikeudet ICMP-paketille nro 3 (Destination Unreachable), homma alkoi pelaamaan.

Mistähän tuollainen johtuis?

Mulla on netti jaettuna w2k pro-koneen kautta ja itse olen siis netissä jaetun yhdeyten takaa.

Palomuurihan pitäisi itse asiassa olla tuolla serverikoneella, mutta tässä vasta harjoittelen ja opettelen. :rolleyes:

Niin, mistä mahtaisi johtua?
 
Sam

Sam

Muumipappa
Liittynyt
2.8.2000
Viestit
34097
Sijainti
Muumilaakso
Minulla on kotona lähtevä icmp sallittu, mutta töissä ei ole ja silti forum toimii normaalisti molemmissa paikoissa. Testasin kotoa ilman pingiä (koneelta missä se ei ole sallittu) ja siitäkin toimi.
 
Sam

Sam

Muumipappa
Liittynyt
2.8.2000
Viestit
34097
Sijainti
Muumilaakso
Tuli vielä mieleen, että onko sinulta dns-kyselyt sallittuja joka paikasta?
 
Dominic

Dominic

Senior Member
Liittynyt
9.2.2000
Viestit
47813
Sijainti
Turku
Missä tommosia DNS-kyselyitä määritetään. Palomuurissako nekin?
 
Sam

Sam

Muumipappa
Liittynyt
2.8.2000
Viestit
34097
Sijainti
Muumilaakso
Palomuurin tulee laskea ulos nimikyselyt operaattorin nimipalvelimelle. Tyypillisesti tämä liikenne tapahtuu portilla udp 53. Ota omasta koneesta käsky ipconfig /all niin sieltä näkyy käyttämäsi dns-palvelinten osoitteet.

Tosin yleensä kevyemmät palomuurit laskevat oletuksena kaiken liikenteen ulos eikä mitään sisälle. Nuo viestini ovat siis liittyneet rajoitetumpaan filtteröintiin, missä ei uloskaan lasketa muuta kuin erikseen sallitut.

Näiden lisäksi tarvitaan sallituksi ulospäin http ja https sekä smtp. Luonnollisesti dominic tarvitsee auki myös portin 6667 (osuiko oikeaan?). Mikäli muurin logit toimivat hyvin, on helppo huomata oma tarve lyhyellä testauksella.
 
Dominic

Dominic

Senior Member
Liittynyt
9.2.2000
Viestit
47813
Sijainti
Turku
Sanotaanko näin, että emmä usko että noiden DNS-palvelimien kanssa ois se ongelma... noh tää toimii ny tälleen ihan ok...

Tack anyway, koitan sompailla.
 

vermula

Well-known member
Liittynyt
1.2.2001
Viestit
12921
Meillä oli kerran jaettu yhteys. Jakajassa kun kokeilin Sygaten palomuuria, silloin toisessa koneessa alkoi yhteys pätkimään salaperäisesti. En sen kummemmin jaksanu selvitellä, ongelma poistui kun poistin Sygaten palomuurin :p
 

Axel

Well-known member
Liittynyt
6.8.2000
Viestit
691
Vastattakoon nyt vielä alkuperäiseen kysymykseen: ICMP tyyppi kolme on oleellinen osa nykyaikaisten TCP-liikennettä ohjaavien laitteiden ja pinojen toimintaa. Aivan kuin alempinumeroisetkin. "Kaikkihan" tietävät ICMP:n yleisimmän käytön eli pingin, mutta esim. DHCP:n toimintaan, reitityksen ja moniin muihinkin toimintoihin ICMP kuuluu.
Blokkaamalla kolmosen saat todennäköisesti ongelmia - riippuen siitä minkälaisia laitteita johtojen päissä on. Periaatteessa karvalakkiverkko voitaisiin tehdä täysin ilman ICMP:tä, mutta kyllä kyseinen protokolla on ollut mukana alusta lähtien tarpeeseen ARP:n ja BOOTP:n toimintojen tukena - jostain traceroutesta nyt puhumattakaan.
Eli, sinun ei pitäisi, vaan sinun täytyisi, sallia ICMP tyyppi kolmosen liikenne esteettä.

Axel.
 
Sinun täytyy kirjautua tai rekisteröityä voidaksesi vastata.
Ylös