tulemüürist läbi? :: Hinnavaatluse Foorumid

Plondiin · HV kasutaja liitunud: 13.12.2001

Mind huvitab tulemüüri traffic logi. Nimelt on tulnud sisse
ICMP protocol, Remote port 0, Rule name: Allow ping replay. Remote host:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.235.88.0 - 80.235.91.255
netname: EE-ESTPAK
descr: ADSL address-pool
descr: ADSL light (prn)
descr: Sole 14
descr: Tallinn
descr: Estpak Data/Estonian Telephone Co
country: EE
admin-c: ET332-RIPE
tech-c: ET332-RIPE
rev-srv: dns.estpak.ee
rev-srv: dns2.estpak.ee
status: ASSIGNED PA
notify: ripe@estpak.ee
mnt-by: ESTPAK-MNT
changed: klem@estpak.ee 20020514
source: RIPE

route: 80.235.0.0/17
descr: EE-ESTPAK-80-235-0-0-17
origin: AS3249
notify: klem@estpak.ee
mnt-by: ESTPAK-MNT
changed: klem@estpak.ee 20011011
source: RIPE

role: ESTPAK NOC
address: Elion Enterprises Ltd.
address: Hostmasters and NOC helpdesk
address: Sole str 14, Tallinn
address: Estonia
fax-no: +372 639 1180
e-mail: abuse@estpak.ee
e-mail: ripe@elion.ee
trouble: 24/7 phone +372 639 1082
trouble: abuse@estpak.ee
remarks: ----------------------------------------
remarks: Abuse notifications to: abuse@estpak.ee
remarks: Network problems to: noc@elion.ee
remarks: Peering requests to: peering@elion.ee
remarks: IPv6 peering requests to: ipv6@elion.ee
remarks: ----------------------------------------
admin-c: KK3254-RIPE
tech-c: RIX2-RIPE
tech-c: JT82-RIPE
tech-c: AK546-RIPE
tech-c: AI451-RIPE
nic-hdl: ET332-RIPE
notify: ripe@elion.ee
mnt-by: ESTPAK-MNT
changed: klem@estpak.ee 20010726
changed: klem@estpak.ee 20010904
changed: klem@estpak.ee 20020110
changed: klem@estpak.ee 20030210
changed: ripe@elion.ee 20031106
source: RIPE

lisaks veel selline: Remote port 0 ja host: 65.177.41.81
OrgName: Sprint
OrgID: SPDN
Address: 12502 Sunrise Valley Dr
City: Reston
StateProv: VA
PostalCode: 20196
Country: US

NetRange: 65.176.0.0 - 65.181.31.255
CIDR: 65.176.0.0/14, 65.180.0.0/16, 65.181.0.0/19
NetName: SPRINT-IPDIAL-2BLK
NetHandle: NET-65-176-0-0-1
Parent: NET-65-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.DIALSPRINT.NET
NameServer: NS2.DIALSPRINT.NET
NameServer: NS3.DIALSPRINT.NET
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2001-08-07
Updated: 2003-12-01

TechHandle: SPRINT-NOC-ARIN
TechName: Sprintlink (Sprint)
TechPhone: +1-800-232-6895
TechEmail: NOC@sprint.net

OrgTechHandle: ARINS-ARIN
OrgTechName: arin-sprint-iprequest
OrgTechPhone: +1-800-232-3458
OrgTechEmail: ip-req@sprint.net

# ARIN WHOIS database, last updated 2004-02-12 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

Kas need tähendavad seda, et on sisse murtud neilt aadressidelt. Ometi ma ei olnud peale restarti internetis käinud ja tulemüüris on Running aps vaid RAS PPPoE.

HacaX · HV Guru liitunud: 22.01.2004

Lühidalt öeldes: ära selle pärast muretse. "Sisse murtud" ei ole, lihtsalt pingitud. ICMP protokoll ongi justnimelt selle vana hea "ping" tegemiseks mis näitab, kui kiire on ühendus sinu ja pingitava masina vahel. Et sulle asja üleüldse mainiti on tingitud sellest, et su tulemüüris on ping lubatud (kohe su posti alguses olev "Rule name: allow ping reply"). Kui sind häirib, et raal netist tulevate "oled olemas ka vä?" päringute peale "jah" vastab, siis pead lihtsalt vastava reegli deaktiveerima.
Huvitav näha muidu, et sul pingi tegijale kohe WHOIS tehakse

Suure tõenäosusega ei mõju asi küll kuigi hästi neti kiirusele.

Plondiin · HV kasutaja liitunud: 13.12.2001

Milleks üldse on vaja pingida? Mida annab võõrale inimesele see teadmine, et olen olemas ja kui kiire on meie arvutite vaheline ühendus?
Ma ei leia tulemüüris kohta, kus pingimine otseselt ära keelata.
http://forums.sygate.com/vb/showthread.php?s=34bb8ce77feee914c60ac2fca0ae4a2e&threadid=50
järgi toimides on võimalus General->Rule description alla tühja kasti midagi kirjutada. Tegelikult on juba vaikimisi Action all oli raadionupp Block this traffic märgendatud. Ja Ports and Protocols all on Apply this rule to - ALL.
Kas ma siis jätan seal General->Action->block traffic ja Ports and Protocols alt valin protokoli ICMP ning märgendan Enable Echo Reply - 0 and Echo Request - 8 ?
Seal valikus tundusid veel asjakohased olevat näiteks Information Request -15, Information Reply - 16
Aga ausalt öeldes pole mul õrna aimugi mida need tähendavad

Ja mis on veel huvitav tulemüüri juures see, et UDP protocoli kaudu, Remote port 68 on sisse lubatud. Ask all running aps. Remote host ei näita ip-d vaid on 0.0.0.0
See tuleb umbes iga kuue minuti tagant. Ja kui real paremklõpsu alt teen Back trace, siis ütleb et This is an invalid IP for back tracing. Tulemüür näitab ka Romote MAC-i, Local hosti ja local MAC-i. Kuidas ma teen kindlaks mis see on ja kust ta tuleb?
Kodutöö tulemusena http://www.iana.org/assignments/port-numbers tuvastasin, et UDP port 68 on:
bootpc 68/udp Bootstrap Protocol Client
# Bill Croft <Croft@SUMEX-AIM.STANFORD.EDU>

aga see ei ütle mulle midagi.

Dijital · HV Guru liitunud: 09.06.2003

no ping tuleb ka näiteks irc, p2p, jne..

Plondiin · HV kasutaja liitunud: 13.12.2001

TzigaLind · HV veteran liitunud: 12.01.2002

Äkkitselt ISP pingib? või mingi app millel on keep'alive funktsioon?

HacaX · HV Guru liitunud: 22.01.2004

bootpc on vahend sinu ja ISPi vaheliseks suhtluseks (sel teel saab su masin pidevalt inffi DNS ja teiste serverite kohta). Imelik muidu, et milleks see täpselt, kuna tänapäeval käib ju kõik DHCP kaudu... Aga samas esines ka mu oma masinal seda... Muidu selle pärast *ka* ei tasu muretseda.
Kunagi muidu KLite'i tööle oled lasknud? Keskserverist paistab offline olevate arvutite alane inff *väga* aeglaselt välja lendama, näiteks ise sain isegi mingi poolteist kuud peale KLite'i poolt kasutatava pordi muutust päringuid ennem avatud olnud porti... Pole ka võimatu, et MSN *kah* mingit pingi teostab (nägemaks, kas sa üldse liinil oled).

tom1245 · HV veteran liitunud: 09.05.2003

mul on ka ruuteris näha, et toimub aktiivne meie netiühenduse IP pingimine. On näha, et perioodiliselt pingib ka ISP ning ma kardan, et kui sa pingimise ära keelad, siis võib-olla ei saa netiühendustki

Plondiin · HV kasutaja liitunud: 13.12.2001

tom1245 · HV veteran liitunud: 09.05.2003

äkki on tegemist mingi spiooniprogega, mis pingib oma n.ö peremehe serverit? Ja kas äkki AVG käivitamisel ei ürita update'e kontrollida?

Plondiin · HV kasutaja liitunud: 13.12.2001

HacaX · HV Guru liitunud: 22.01.2004

UDP port 137 on WINSi (Win DNS) jubin. Väidetavalt pidid mingid NTl jooksvad serverid selle kaudu sinu kohta lisainffi uurima. Põhimõtteliselt võiks kinni keerata.

Muidu, kas on on hea mõte Win Exploreri võrkulaskimine?

Plondiin · HV kasutaja liitunud: 13.12.2001

HacaX · HV Guru liitunud: 22.01.2004

Kuule, panin siin vahepeal korraks Sygate'i peale (prii versiooni), a näiteks asja niikaugele ei saanudki, et pingile ei vastaks... Äkki PRO ja prii variandi vahe peale IDSi ongi selles, et tasulises saad redigeerida *kõiki* reegleid, vabas saad aga ainult lisada (ie neid, mis müüriga kaasa tulevad, sa muuta ei saa)? Outpostiga vähemalt oli nii.

Konkreetselt portidest... äkki aitaks just sellesama Winblows Exploreri ärakeelamine (kui su masin mingis sisevõrgus ei istu, siis ei näe mina küll mingit põhjust, mis Explorer üleüldse välismaailmast teadlik peaks olema). Sest peaasjalikult peaks just too sissetulevale andmevoole vastama (ei viitsinud Sygate'i pikemalt uurida, a kas too rohkem inffi ei andnud, ie *kes* (ehk siis milline proge) sissetulnud kõne vastu võttis?)

Muidu IANA paistab olevat OK organisatsioon... midagi mete Euroopa RIPE'i sarnast.

Plondiin · HV kasutaja liitunud: 13.12.2001