tcp/ip filtering

ICMP? Die heb je voor ping iig nodig.

ICMP is Internet Connection Management Protocol ofzo... (zoiets iig )

Da's dus een protocol dat NAAST TCP & UDP staat... Gebruikt verder dus ook geen poorten

soms is het handig als data terug kan komen, dus de poorten waarmee JIJ verbinding maakt moeten bereikbaar zijn

mr mcMally,

je hebt het steeds over verkeer van buiten de server naar binnen.
dat werkt kennelijk zoals jij wilt.
maar verkeer geinitieerd van binnen en bestemd voor buiten wil niet.
kennelijk wordt dat allemaal geblokt.
heb je trouwens geen firewall logging ?
tip : lees ook eens wat over keep state

zoek het in "incoming/outgoing"

daar zit het in .

ALs iemans wel op poort 80 naar buitenmag, maar het mag niet naar binnen op poort 80, dan heeft het natuurlijk geen nut

Verwijderd schreef op 02 July 2003 @ 13:24:
wat ben ik vergeten???

pak eens een sniffer en zie wat/waar het fout gaat

TCP/IP filtering is wel heel erg basic.
Waarom heb je niet gekozen voor de ingebouwde Windows 2000 firewall? (IPSec)

Mwa, je moet net even door hebben hoe het werkt. En je moet bij elke wijziging wachten op de group policy refresh alvorens de wijziging daadwerkelijk wordt doorgevoerd.

Verder werkt IPSec vrij gemakkelijk, iig gemakkelijker dan TCP/IP filtering.

Verwijderd schreef op 02 July 2003 @ 14:03:
TCP/IP filtering is wel heel erg basic.
Waarom heb je niet gekozen voor de ingebouwde Windows 2000 firewall? (IPSec)

Feeble.. mcMally wil een firewall realiseren. Dit doet hij met tcp/ip filtering, omdat dit gratis is. (zie andere topic van deze persoon)
IPSec staat wel voor IP security, maar heeft werkelijk niets met een Firewall van doen.
IPSec is een beveiligde (encrypte) verbinding tussen 2 of meerdere hosts.

@mcMally

Kan je een uitleg geven van de situatie, zoals je hem graag zou zien.
Want je zou ook Routing and Remote Access kunnen gebruiken op de WIndows 2000 server.
Wanneer je deze configureerd als een Router, akn je ook NAT gebruiken van binnen naar buiten, waardoor je retour data altijd op basis van de NAT tabel weer terug komt bij de originator.

Je kan met RRAS routen tussen 2 interfaces.
Op de externe interface hoef je alleen maar poorten door te zetten die naar binnen moeten vanwege services die intern draaien.

Suc6

Verwijderd schreef op 02 July 2003 @ 14:03:
TCP/IP filtering is wel heel erg basic.
Waarom heb je niet gekozen voor de ingebouwde Windows 2000 firewall? (IPSec)

Verwijderd schreef op 02 July 2003 @ 14:09:
Mwa, je moet net even door hebben hoe het werkt. En je moet bij elke wijziging wachten op de group policy refresh alvorens de wijziging daadwerkelijk wordt doorgevoerd.

Verder werkt IPSec vrij gemakkelijk, iig gemakkelijker dan TCP/IP filtering.

kheb mensen wel eens onzin horen vertellen maar dit is wel heel erg. ipsec heeft dan ook helemaal niks 0,0 noppes nada met een firewall te maken.
IPSEC is een encryptie protocol.
DIt is gewoon onzin vertellen, voor hetzelfde geld enabled TS ipsec, en dan krijg je een topic (win98 client kan niet meer met win2k praten, rarara).

IPsec (Internet Protocol Security) is a framework for a set of protocols for security at the network or packet processing layer of network communication. Earlier security approaches have inserted security at the application layer of the communications model. IPsec is said to be especially useful for implementing virtual private networks and for remote user access through dial-up connection to private networks. A big advantage of IPsec is that security arrangements can be handled without requiring changes to individual user computers. Cisco has been a leader in proposing IPsec as a standard (or combination of standards and technologies) and has included support for it in its network routers.

denk voortaan aub eerst na voordat je mensen op het verkeerde been zet

Als ik jou was, zou ik gewoon een losse FireWall downloaden mcMally...

Dat IP-Filtering bied wel zulk weinige opties, daar kun je IMO te weinig mee

Verwijderd schreef op 02 July 2003 @ 15:12:
thanks grolsch
je heb ook gelijk, had het hier nog gff besproken, stom had het zelf ook moeten weten van ipsec, notabene gehad met hetrogene netwerken op school haha.

Maar goed ff proberen nog met die tcp/ip filtering, want het is voor mij nog steeds een raadsel hoe het nu kan dat ik niet verkeer naar buiten krijg :-')

wat heeft je server als gateway staan op z'n interne ip adres? staat dit wel goed?

Osiris schreef op 02 July 2003 @ 15:13:
Als ik jou was, zou ik gewoon een losse FireWall downloaden mcMally...

Dat IP-Filtering bied wel zulk weinige opties, daar kun je IMO te weinig mee

da's geen oplossing maar een workaround.

kun je pics posten van je situatie?

kzal eens kijken of ik het me voor de geest kan halen

Verwijderd schreef op 02 July 2003 @ 15:35:
hier is die dan

[afbeelding]

Ik hoop dat je er iets aan hebt

zoals je ziet zit remote desktop er ook by.
naar myn weten moet ik nu ook gewoon de mogelijkheid hebben om van binnen naar buiten te browsen.
ik kom nu in ieder geval wel op de website die op de server staat.

dit kan ik beamen

hoe zit de boel nu echt in elkaar?

1 win2k server met 2 interfaces? 1 local + 1 public?
zit er nog een firewall/proxy/router tussen die server en i-net?

resolved je pc wel hostname's naar ip's? zo nee, check dns
geef eens resultaten van een ping op hostname www.tweakers.net
en een tracert naar www.tweakers.net

Als je het goed doet zet je alle tcp dicht voor syn packetjes dit izjn packetjes die gestuurd worden bij het opzetten van een connectie. Behalve op de poorten die je wel wil 21 80 etc.
Vervolgens zet je alle udp poortren onder de 1023 dicht behalve 53

Wat je gedaan hebtis alle poorten voor al het verkeer dichtzetten. ALs je een website bezoekt maak je verbinding vanaf een poort (boven de 1023) en er komt ook data terug richting dit poortnummer daaarom werkt het dus niet meer. Lees eens wat basic tcp/iip stuffo ofzo

Volgens mij heb je voor gewoon DNS verkeer tcp 53 nodig.
upd 53 wordt imo alleen gebruikt voor iteratieve queries..(de query die jouw DNS server doet naar zijn hoger gelegen DNS server..)
De query die een gewone client doet naar een DNS server, heet een recursieve query.

ALs dit alleen een webserver betreft, dan zou ik nog even bij MS.com zoeken naar de juiste manier om een webserver te beveiligen..
Je moet wel even weten, dan wanneer ik vanaf mij PC een website aanvraag. (vb: tweakers.net) dan stuurt mijn PC een aanvraag naar het ip adres van tweakers.net, op poort 80(tcp). Het antwoord op die aanvraag loopt over een undefined poort (> 1024 tcp).
Deze poort is niet gedefinieerd, en kan dus regelmatig veranderen.

Je raad het misschien al. Wanneer jij niet weet welke poort dat is, kan jij ook niet zorgen dat alleen die poort naar buiten weer open mag staan.
Daarom wordt er gemeld dat TCP/IP fitering wel erg basic is. Wanneer je een service draait op die doos, waarvan je zeker weet dat het verkeer heen, en terug over dezelfde poort gaat, dan kan je deze inderdaad permitten mbv TCP/IP fitering.

Maar goed, gelukkig zijn er genoeg pakketjes op internet verkrijgbaar, die een dergelijk functie wel goed kunnen.
Ik zou dus nog maar eens goed zoeken op tucows, of downloads.com.

Grolsch schreef op woensdag 02 juli 2003 @ 15:09:
[...]


[...]


kheb mensen wel eens onzin horen vertellen maar dit is wel heel erg. ipsec heeft dan ook helemaal niks 0,0 noppes nada met een firewall te maken.
IPSEC is een encryptie protocol.
DIt is gewoon onzin vertellen, voor hetzelfde geld enabled TS ipsec, en dan krijg je een topic (win98 client kan niet meer met win2k praten, rarara).


[...]


denk voortaan aub eerst na voordat je mensen op het verkeerde been zet

'k weet dat dit al 2 jaar oud is, maar wellicht vinden mensen dit via de search en krijgen dan een verkeerd id aangezien feeble nooit gereageerd heeft.

IPSEC is weldegelijk als een firewall te gebruiken. Door bij local security policy een nieuwe policy aan te maken kan je poorten blocken en permitten of zelfs alleen bepaalde ip adressen. Zo kan je bijvoorbeeld alles blocken en een aantal poorten open zetten (webserver, smtp etc). Dit ken je instellen voor zowel inbound als outbound. Dit maakt het wel degelijk tot een firewall.

[ Voor 3% gewijzigd door Chilly_Willy op 17-08-2005 10:17 ]

Jij loopt in dezelfde val als Grolsch (twee jaar geleden): er zijn blijkbaar meer dingen die IPSEC heten.

Op *nix heb je ook ipsec, en dat is idd iets anders. In windows word het gewoon voor meedere doeleinden gebruikt en je kan er dus ook een firewall van maken.

Grolsch schreef op woensdag 02 juli 2003 @ 15:09:
[...]


[...]


kheb mensen wel eens onzin horen vertellen maar dit is wel heel erg. ipsec heeft dan ook helemaal niks 0,0 noppes nada met een firewall te maken.
IPSEC is een encryptie protocol.
DIt is gewoon onzin vertellen, voor hetzelfde geld enabled TS ipsec, en dan krijg je een topic (win98 client kan niet meer met win2k praten, rarara).


[...]


denk voortaan aub eerst na voordat je mensen op het verkeerde been zet

Dus waar ik mee bezig was in dit topic is nutteloos?

Sendy schreef op woensdag 17 augustus 2005 @ 10:38:
Jij loopt in dezelfde val als Grolsch (twee jaar geleden): er zijn blijkbaar meer dingen die IPSEC heten.

Mmm.. niet noodzakelijk:
Immers, een ipsec policy waar je geen endpoints toekent (ipsec tunneling) maar waar je native 2000 kerberos policies gebruikt om connecties mee te filteren is nog steeds ipsec maar dan anders toegepast.

Het idee is min of meer als volgt: normaal gebruik je de encryptie om een secure verbinding op te zetten, maar nu zet je met extra rules een encrypted filter op.
Alleen de andere kant heeft geen idee welke key/encryptiemethode er gebruikt moet worden omdat je key buiten het lokale PCdomain of AD domain onbekend is en kan dus ook niet terug antwoorden.
Door gaten te prikken in die muur (je filter rules) laat je alleen dat verkeer toe wat je toe wil staan.
Voorbeeld vind je hier:
http://www.analogx.com/contents/articles/ipsec.htm