Firewall: Default wirklich "Block all"?

[Izzy]

Ich habe hier gerade ein merkwürdiges Phänomen: Auf meinem Laptop poppt ZoneAlarm auf und meldet, dass da jemand aus dem Internet mit IP soundso versucht hat, auf Port 139 (NetBios) des Laptops zuzugreifen. Bin ein wenig verwirrt: Ich dachte, das sei nur möglich, wenn ich in der Frittenbox ein entsprechendes Portforwarding eingerichtet hätte? Das habe ich aber definitiv nicht für diesen Port (nur HTTP und SSH sind weitergeleitet, allerdings auf einen ganz anderen Rechner). Ein "getunnel" über den httpd lässt sich auch weitgehend ausschließen (kein Eintrag im Log).

Wie darf ich das jetzt also verstehen? Blockt die Firewall in der Frittenbox nicht richtig, oder habe ich was übersehen? Achja: Fritzbox 7170 ist hier im Einsatz. Und in den Menüs finde ich zu diesem Thema nur die Portweiterleitungen, nix zur Firewall - vielleicht bin ich ja auch nur zu blöd? :noidea:

 

[Aureal]

Hallo, kann mir eigentlich nur vorstellen, dass die Anfrage über eine "established" - Verbindung reinkommt. Falls in der Box eine "Stateful Inspection" - Firewall ihren Dienst tut, werden Verbindungen von aussen, die zu einer bestehenden Verbindung gehören (oder dieser zugeordnet werden), durchgelassen. Anders kann ich mir das nicht erklären, sofern die Meldung der Desktop-Firewall korrekt ist.

Ciao

 

[rollo]

Internet ist relativ, das kann auch von einem anderen Gerät im internen Netz kommen.

jo

 

[KuniGunther]

Der Port 139 sollte sich ohne explizite Portweiterleitung von außen nicht ansprechen lassen.

Hast Du die Konfiguration über UPnP in der Box aktiviert?

Es könnte auch sein, dass das ein Rechner in Deinem Netzwerk ist, der eine falsche IP nutzt. (Eine etwaige Antwort würde bei dem natürlich nie ankommen ...)

Edit: Richtig, was ist denn für Dein ZoneAlarm "Internet"?

 

[Izzy]

Bingo. Auch wenn ich noch nicht herausfinden konnte, von welchem - die Adresse sieht merkwürdig aus, wenn man sie sich näher betrachtet: 169.254.174.54. Darauf brachte mich die Abfrage bei WHOIS. Ähnlich wie die 192.168.*.* Range, ist es auch hier ein Spezialnetz: Windows vergibt gern IPs in diesem Bereich, wenn es nix via DHCP findet (und keine feste Adresse eingetragen ist). Für die Firewall sah das nach "Internet" aus, weil es nicht aus dem "lokalen" 192.168.* Netz kam.

Berichtigt mich bitte, wenn ich mit obigem falsch liege. Sollten meine Annahmen korrekt sein, war das ein Fehlalarm (was die Firewall in der Frittenbox angeht), und der "Böse Bube" sitzt diesseits der Fritz (also irgendwo im LAN). Pingen konnte ich die Adresse natürlich nicht, da für das Netz kein Routing eingetragen ist. Bleibt die Frage, wie ich den Schuldigen finde...

Gruß,
Izzy.

 

[Izzy]

Der Port 139 sollte sich ohne explizite Portweiterleitung von außen nicht ansprechen lassen.

Das machte mich ja gerade stutzig. Und daher ja auch mein Verdacht hinsichtlich der Adresse, dass es wohl doch eher etwas "lokales" ist. Nur sitzt zunächst der Schreck tief, wenn der ZoneAlarm sowas aus dem "Internet" meldet. Was er darunter versteht? Siehe letzte Mail: Offensichtlich alles, was nicht dem zur eigenen IP gehörigen Netz entstammt (und auch nicht von 127.0.0.1 kommt).

Der Port 139 sollte sich ohne explizite Portweiterleitung von außen nicht ansprechen lassen.

Wenn ich das auf die Schnelle finde - ich meine schon, da ich ein paar Geräte im Netz habe, die das nutzen (MediaServer und Clients). Was den Rechner mit der falschen IP betrifft: Darauf geht mein Verdacht ja mittlerweile auch. Nur dass alle derzeit laufenden PCs sauber auf's Internet zugreifen können. Kann ja mal rumlaufen, und überall ein "ipconfig /all" bzw. "ifconfig -a" absetzen...

Ping,
Izzy.

 

[gandalf94305]

169.254.174.54

Diese Adresse dürfte zugewiesen werden, wenn ein System per DHCP keine IP-Adresse bekommt. Es kann also sein, daß ein solches System einen NetBIOS Broadcast losschickt, um herauszufinden, in welcher Umgebung welche Server aktiv sind. Das triggert dann ZoneAlarm.

Kein Grund zur Sorge. NetBIOS sollte durch die FBF nicht reinkommen und Du dürftest ohne Modifikation der Regeln in dieser auch Probleme haben, NetBIOS Verbindungen nach draußen ins wirkliche Internet aufzubauen.

--gandalf.

 

[sven@mainz]

Der 169-er Bereich ist für Microsoft reserviert, es ist definitiv ein Windows-PC im eigenem Netz, der keine IP per DHCP zugewiesen bekommen hat.
Wenn kein DHCP-Server im Netz gefunden wird, dann wird, wenn unter den Eigenschaften des TCP/IP-Protokolles bei den erweiterten Eigenschaften bei der zweiten IP-Adresse (ist nur bei DHCP verfügbar) ebenfalls "automatisch beziehen" eingestellt ist eine IP aus diesem Bereich gewählt. Alternativ wäre hier eine Adresse aus dem eigenen Netz anzugeben, die nicht per DHCP vergeben wird.

 

[gandalf94305]

Der 169-er Bereich ist für Microsoft reserviert

Nicht wirklich für Microsoft reserviert... Siehe RFC 3330. Es handelt sich bei 169.254.x.x um einen von IANA für solche Zwecke reservierten Bereich von IP-Adressen. 169.253.x.x gehört z.B. dem U.S. Department of State ;-)

--gandalf.