---

Når man nu har installeret en personal firewall som f.eks Sygate, hvad så
med de der "keep alive" signaler der sendes fra TDC når man har dynamiske ip
adresser?
Må eller skal de stoppes af firewalen inden de går "ind" i computeren, jeg
kan nemlig se i loggen på min firewall som jeg lige har installeret idag at
hvert andet minut stoppes signalerne af min firewall på denne måde:

Blocket
Protocol UDP
Direction Incomming
Remote port 26222
Location port 2078
og så er TDC´s ip adresse der.
Jeg spørger fordi i sidste uge havde vi problemer med en pc der ikke ville
blive på nettet, TDC sagde at den ikke accepterede keep alive signalet fra
dem, derfor gik den af nettet og kunne først gå på igen efter at have været
genstartet, det var så en windows fejl som jeg har rettet men jeg tænkte så
på om firewalen kan lave problemer også?

Forresten jeg har læst firewalens manual, men der er intet der omhandler
problemet.

--
mvh/best regards
Henning Lund
icq 18805021
http://sitecenter.dk/freespace

---

Henning Lund wrote:

> Når man nu har installeret en personal firewall som f.eks Sygate, hvad så
> med de der "keep alive" signaler der sendes fra TDC når man har dynamiske ip
> adresser?

Det må være DHCP du tænker på. En DHCP-server "lejer" en IP-adresse ud
for et bestemt tidsrum. Når det tidsrum er ved at være slut, sender
KLIENTEN (meget vigtigt) en "må-jeg-ikke-godt-få-en-ny-ip"-pakke til
DHCP-serveren. Hvis den nuværende IP-adresse er ledig, får klienten lov
til at beholde den.

Hvis klienten forhindres i at sende "please"-pakker, dropper den IP'en
efter det fastsatte tidspunkt og det er så der du skal ind og genstarte.

> Blocket
> Protocol UDP
> Direction Incomming
> Remote port 26222
> Location port 2078
> og så er TDC´s ip adresse der.

Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
Ikke port 2078. Hvilken IP-adresse hos TDC er det?

--
"...in Spain!"

---

Christian Andersen skrev:

>Henning Lund wrote:
>
>> Når man nu har installeret en personal firewall som f.eks Sygate, hvad så
>> med de der "keep alive" signaler der sendes fra TDC når man har dynamiske ip
>> adresser?
>
>Det må være DHCP du tænker på. En DHCP-server "lejer" en IP-adresse ud
>for et bestemt tidsrum. Når det tidsrum er ved at være slut, sender
>KLIENTEN (meget vigtigt) en "må-jeg-ikke-godt-få-en-ny-ip"-pakke til
>DHCP-serveren. Hvis den nuværende IP-adresse er ledig, får klienten lov
>til at beholde den.

Ja det var nemlig det jeg regnede med, og så spekulerede jeg på om
firewalen lukkede for "be om " signalet.
>
>Hvis klienten forhindres i at sende "please"-pakker, dropper den IP'en
>efter det fastsatte tidspunkt og det er så der du skal ind og genstarte.
>
>> Blocket
>> Protocol UDP
>> Direction Incomming
>> Remote port 26222
>> Location port 2078
>> og så er TDC´s ip adresse der.
>
>Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
>Ikke port 2078. Hvilken IP-adresse hos TDC er det?

Det er 80.62.171.243

---

Henning Lund wrote:
>
> Christian Andersen skrev:
>
> >Henning Lund wrote:
> >
> >> Blocket
> >> Protocol UDP
> >> Direction Incomming
> >> Remote port 26222
> >> Location port 2078
> >> og så er TDC´s ip adresse der.
> >
> >Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
> >Ikke port 2078. Hvilken IP-adresse hos TDC er det?
>
> Det er 80.62.171.243

Er det din egen IP addresse, eller er det den addresse
pakkerne kommer fra?

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:

>Henning Lund wrote:
>>
>> Christian Andersen skrev:
>>
>> >Henning Lund wrote:
>> >
>> >> Blocket
>> >> Protocol UDP
>> >> Direction Incomming
>> >> Remote port 26222
>> >> Location port 2078
>> >> og så er TDC´s ip adresse der.
>> >
>> >Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
>> >Ikke port 2078. Hvilken IP-adresse hos TDC er det?
>>
>> Det er 80.62.171.243
>
>Er det din egen IP addresse, eller er det den addresse
>pakkerne kommer fra?

Sorry svaret havnede forkert sted, jeg har det med at ramme mail
knappen en gang imellem

---

Henning Lund wrote:

>>Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
>>Ikke port 2078. Hvilken IP-adresse hos TDC er det?

> Det er 80.62.171.243

Det er din egen IP-adresse. Hvis det er den der optræder i din
firewall-log er der noget galt med din firewall. Den burde ikke stoppe
computerens egen pakker.

--
"...in Spain!"

---

Christian Andersen skrev:

>Henning Lund wrote:
>
>>>Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
>>>Ikke port 2078. Hvilken IP-adresse hos TDC er det?
>
>> Det er 80.62.171.243
>
>Det er din egen IP-adresse. Hvis det er den der optræder i din
>firewall-log er der noget galt med din firewall. Den burde ikke stoppe
>computerens egen pakker.
remote var 62.243.13.107
og lokal var 80,62,171,243

---

Henning Lund wrote:
>
> Christian Andersen skrev:
>
> >Henning Lund wrote:
> >
> >>>Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
> >>>Ikke port 2078. Hvilken IP-adresse hos TDC er det?
> >
> >> Det er 80.62.171.243
> >
> >Det er din egen IP-adresse. Hvis det er den der optræder i din
> >firewall-log er der noget galt med din firewall. Den burde ikke stoppe
> >computerens egen pakker.
> remote var 62.243.13.107
> og lokal var 80,62,171,243

Begge addresser bruges tilsyneladende af kunder hos TDK, men
altså ikke af TDK selv. Det behøves ikke være et forsøg på at
angribe din maskine. Det kan være, at en tidligere bruger af
din IP addresse har kørt noget på den pågældende port. Nogle
fildelingsprogrammer bliver ved med at bruge gamle IP
addresser alt for længe. Jeg fik for nyligt næsten 3000 TCP
pakker sendt til port 1214 (KAZAA).

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:

>> remote var 62.243.13.107
>> og lokal var 80,62,171,243
>
>Begge addresser bruges tilsyneladende af kunder hos TDK,

Ja nu fik jeg forkludret mine svar men 80.62.171.243 er selvfølgelig
min egen remoten ved jeg ikke hvad der er, men den hamrer trofast
på hvert andet minut på port 26222.

Den her:
UDP
incomming
Blocket
Remote host 80.62.11.1
remote port 67
Local ip 255.255.255.255
local port 68
Var det noget der betød noget, det misforstod jeg lidt, (for lidt søvn
pga en knægt skulle hentes fra fest i nat)



men
>altså ikke af TDK selv. Det behøves ikke være et forsøg på at
>angribe din maskine. Det kan være, at en tidligere bruger af
>din IP addresse har kørt noget på den pågældende port.

Ip adressen har jeg haft siden efteråret da vi fik TDC Bredbånd, og vi
er under 5 på centralen så der skiftes ikke ip adresser .

Nogle
>fildelingsprogrammer bliver ved med at bruge gamle IP
>addresser alt for længe. Jeg fik for nyligt næsten 3000 TCP
>pakker sendt til port 1214 (KAZAA).

---

Henning Lund wrote:

> Ja nu fik jeg forkludret mine svar men 80.62.171.243 er selvfølgelig
> min egen remoten ved jeg ikke hvad der er, men den hamrer trofast
> på hvert andet minut på port 26222.

Jeg blev nødt til at læse tilbage i tråden fordi jeg kunne ikke finde
port 26222 nogen steder.

Det du mener er at der bliver hamret på din lokale port 2078 fra remote
port 26222. Det er en vigtig skelnen. I firewallsammenhænge er remote
port så godt som altid uinteressant. Det er den lokale port (den der
bliver hamret på) der er interessant.

Anyway. Google er som altid alles ven og jeg fandt følgende:

http://makeashorterlink.com/?R22145D6

> UDP
> incomming
> Blocket
> Remote host 80.62.11.1
> remote port 67
> Local ip 255.255.255.255
> local port 68
> Var det noget der betød noget, det misforstod jeg lidt, (for lidt søvn
> pga en knægt skulle hentes fra fest i nat)

Ja. Du skal lave en regel i din firewall der tillader den trafik, da det
er den der sørger for at du kan blive på nettet.

--
"...in Spain!"

---

Christian Andersen skrev:

>Henning Lund wrote:
>
>> Ja nu fik jeg forkludret mine svar men 80.62.171.243 er selvfølgelig
>> min egen remoten ved jeg ikke hvad der er, men den hamrer trofast
>> på hvert andet minut på port 26222.
>
>Jeg blev nødt til at læse tilbage i tråden fordi jeg kunne ikke finde
>port 26222 nogen steder.
>
>Det du mener er at der bliver hamret på din lokale port 2078 fra remote
>port 26222. Det er en vigtig skelnen. I firewallsammenhænge er remote
>port så godt som altid uinteressant. Det er den lokale port (den der
>bliver hamret på) der er interessant.
>
>Anyway. Google er som altid alles ven og jeg fandt følgende:
>
>http://makeashorterlink.com/?R22145D6

Så må jeg bryde sammen og spørge hvad det betyder, jeg er ikke
specielt god til engelske fagudtryk.
>
>> UDP
>> incomming
>> Blocket
>> Remote host 80.62.11.1
>> remote port 67
>> Local ip 255.255.255.255
>> local port 68
>> Var det noget der betød noget, det misforstod jeg lidt, (for lidt søvn
>> pga en knægt skulle hentes fra fest i nat)
>
>Ja. Du skal lave en regel i din firewall der tillader den trafik, da det
>er den der sørger for at du kan blive på nettet.

Aha der kom vi frem til noget, det er sq bare utroligt jeg ikke er
blevet vippet af nettet, da firewalen har kørt siden i går
eftermiddags kl 14 med den blokering

---

Henning Lund wrote:

>>http://makeashorterlink.com/?R22145D6

> Så må jeg bryde sammen og spørge hvad det betyder, jeg er ikke
> specielt god til engelske fagudtryk.

Det betyder simpelthen at der findes et program der hedder Rave2 der
benytter den port.

http://www.rave2.com/

Tilsyneladende et "ring-gratis-over-internettet"-program. Måske er det
din rige onkel i Amerika

Normalt ville jeg sige at den person der haft din IP-adresse før dig,
har haft en samtale eller noget, men det kan jo ikke passe siden du har
haft samme IP i flere måneder.

Dog er noget ligende sket for mig for nylig. Jeg havde haft en IP i 3
uger og blev pludselig bombarderet med pakker til et internetspil. Aner
ikke hvorfor.

Tag det som en oplevelse og bekræftelse af at din firewall virker

>>Ja. Du skal lave en regel i din firewall der tillader den trafik, da det
>>er den der sørger for at du kan blive på nettet.

> Aha der kom vi frem til noget, det er sq bare utroligt jeg ikke er
> blevet vippet af nettet, da firewalen har kørt siden i går
> eftermiddags kl 14 med den blokering

*trækker på skuldrene*

--
"...in Spain!"

---

Christian Andersen skrev:


>Det betyder simpelthen at der findes et program der hedder Rave2 der
>benytter den port.
>
>http://www.rave2.com/
>
>Tilsyneladende et "ring-gratis-over-internettet"-program. Måske er det
>din rige onkel i Amerika

Tak skal du have for hjælpen, gu ved om det er noget at det stads det
medfølger ICQ programmet, det skulle ikke forbavse mig, og jeg har
godt nok ikke en onkel i kamerika, men min far har

>Normalt ville jeg sige at den person der haft din IP-adresse før dig,
>har haft en samtale eller noget, men det kan jo ikke passe siden du har
>haft samme IP i flere måneder.

Nej det er rigtigt.

>Tag det som en oplevelse og bekræftelse af at din firewall virker

Ja det er korrekt

>> Aha der kom vi frem til noget, det er sq bare utroligt jeg ikke er
>> blevet vippet af nettet, da firewalen har kørt siden i går
>> eftermiddags kl 14 med den blokering
>
>*trækker på skuldrene*

Internettet er tiltider uforklarligt.

---

Christian Andersen wrote:
>
> Henning Lund wrote:
>
> >>http://makeashorterlink.com/?R22145D6
>
> > Så må jeg bryde sammen og spørge hvad det betyder, jeg er ikke
> > specielt god til engelske fagudtryk.
>
> Det betyder simpelthen at der findes et program der hedder Rave2 der
> benytter den port.
>
> http://www.rave2.com/
>
> Tilsyneladende et "ring-gratis-over-internettet"-program. Måske er det
> din rige onkel i Amerika
>
> Normalt ville jeg sige at den person der haft din IP-adresse før dig,
> har haft en samtale eller noget, men det kan jo ikke passe siden du har
> haft samme IP i flere måneder.
>
> Dog er noget ligende sket for mig for nylig. Jeg havde haft en IP i 3
> uger og blev pludselig bombarderet med pakker til et internetspil. Aner
> ikke hvorfor.

Det kan jo også skyldes at nogen har skrevet forkert,
da de skulle skrive IP addressen.

>
> >>Ja. Du skal lave en regel i din firewall der tillader den trafik, da det
> >>er den der sørger for at du kan blive på nettet.
>
> > Aha der kom vi frem til noget, det er sq bare utroligt jeg ikke er
> > blevet vippet af nettet, da firewalen har kørt siden i går
> > eftermiddags kl 14 med den blokering
>
> *trækker på skuldrene*

Det er ikke til at sige, hvor længe det kan gå godt
uden DHCP pakkerne. Hvis DHCP klienten ikke selv
dropper addressen, og ingen anden maskine får tildelt
addressen, kan det blive ved med at virke vilkårligt
længe.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:


>Det kan jo også skyldes at nogen har skrevet forkert,
>da de skulle skrive IP addressen.

Ok

>Det er ikke til at sige, hvor længe det kan gå godt
>uden DHCP pakkerne. Hvis DHCP klienten ikke selv
>dropper addressen, og ingen anden maskine får tildelt
>addressen, kan det blive ved med at virke vilkårligt
>længe.

Ja det skulle man tro.

---

Christian Andersen skrev:

>Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
>Ikke port 2078. Hvilken IP-adresse hos TDC er det?

Jeg kan også se at ca hvert 20 minut spærres denne nu når du omtaler
port 67-68.

Blocket
Protocol UDP
Direction incomming
Remote host 80.62.11.1
Remote port 67
Local ip 255.255.255.255
Local port 68

---

Henning Lund wrote:
>
> Christian Andersen skrev:
>
> >Det virker underligt. DHCP kører på portene 67 og 68, både TCP og UDP.
> >Ikke port 2078. Hvilken IP-adresse hos TDC er det?
>
> Jeg kan også se at ca hvert 20 minut spærres denne nu når du omtaler
> port 67-68.
>
> Blocket
> Protocol UDP
> Direction incomming
> Remote host 80.62.11.1
> Remote port 67
> Local ip 255.255.255.255
> Local port 68

Den skal du lukke igennem. Jeg vil tro, at både source og
destination IP og port er ens hver gang. Så du kan matche
på det hele. I øvrigt burde firewallen kunne se, at der
lige har været en udgående pakke mellem samme porte. Men
måske er det IP addressen 255.255.255.255, der forvirer
firewallen.

Hvert 20. minut er egentlig meget tit. Men måske retransmiterer
computeren pakken når den ikke får svar.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>I øvrigt burde firewallen kunne se, at der
>lige har været en udgående pakke mellem samme porte.

Kører alle disse personlige firewalls stateful inspection?

Ellers er firewallen vel simpelthen nødt til at afvise alle
indkommende udp-pakker af ukendt art, eftersom man ikke som i
tcp-pakker kan kigge efter SYN-flag.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >I øvrigt burde firewallen kunne se, at der
> >lige har været en udgående pakke mellem samme porte.
>
> Kører alle disse personlige firewalls stateful inspection?

Nej, det gør de nok ikke. Men de *burde* gøre det. Jeg
har kun selv erfaring med ipchains og iptables.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Den Mon, 18 Feb 2002 07:40:48 +0100 skrev Kasper Dupont:
>Allan Olesen wrote:
>>
>> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>>
>> >I øvrigt burde firewallen kunne se, at der
>> >lige har været en udgående pakke mellem samme porte.
>>
>> Kører alle disse personlige firewalls stateful inspection?
>
>Nej, det gør de nok ikke. Men de *burde* gøre det. Jeg
>har kun selv erfaring med ipchains og iptables.

ipchains har heller ikke stateful inspection.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

kfr@fleggaard.dk (Kent Friis) wrote:

>ipchains har heller ikke stateful inspection.

Nej, men IP Masquerading, som man jo ofte bruger sammen med
ipchains, har. Ellers ville den jo ikke kunne lave
mange-til-én-NAT.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal <jdunet@u7.dybdal.dk> wrote:
>>ipchains har heller ikke stateful inspection.
>
>Nej, men IP Masquerading, som man jo ofte bruger sammen med
>ipchains, har. Ellers ville den jo ikke kunne lave
>mange-til-én-NAT.

Hm. Vi er enige om, at NAT kræver noget, der svarer til en firewalls
stateful inspection, men jeg synes, man spænder begreberne til
bristepunktet, hvis man af den grund begynder at kalde enhver
NAT-router for en stateful inspection firewall. Er det virkelig
accepteret terminologi?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Mon, 18 Feb 2002 21:49:43 +0100, Allan Olesen
<aolesen@post3.tele.dk> wrote:

> [...] jeg synes, man spænder begreberne til bristepunktet, hvis
> man af den grund begynder at kalde enhver NAT-router for en state-
> ful inspection firewall.

Jeg er enig.

-A
--
http://www.hojmark.org/

---

Allan Olesen wrote:
>
> Jesper Dybdal <jdunet@u7.dybdal.dk> wrote:
> >>ipchains har heller ikke stateful inspection.
> >
> >Nej, men IP Masquerading, som man jo ofte bruger sammen med
> >ipchains, har. Ellers ville den jo ikke kunne lave
> >mange-til-én-NAT.
>
> Hm. Vi er enige om, at NAT kræver noget, der svarer til en firewalls
> stateful inspection, men jeg synes, man spænder begreberne til
> bristepunktet, hvis man af den grund begynder at kalde enhver
> NAT-router for en stateful inspection firewall. Er det virkelig
> accepteret terminologi?

Det kommer an på, hvordan du definerer firewall. Nogle mener,
at netop stateful inspection kendetegner en firewall. En NAT
router kan godt leve op til nogle brugeres behov for stateful
inspection. (Forudsat at dens NAT er implementeret fornuftigt,
jeg ved ikke hvor gode sådan nogle normalt er.) Jeg kalder
normalt en NAT router for en primitiv firewall.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Allan Olesen <aolesen@post3.tele.dk> wrote:

>Jesper Dybdal <jdunet@u7.dybdal.dk> wrote:
>>>ipchains har heller ikke stateful inspection.
>>
>>Nej, men IP Masquerading, som man jo ofte bruger sammen med
>>ipchains, har. Ellers ville den jo ikke kunne lave
>>mange-til-én-NAT.
>
>Hm. Vi er enige om, at NAT kræver noget, der svarer til en firewalls
>stateful inspection, men jeg synes, man spænder begreberne til
>bristepunktet, hvis man af den grund begynder at kalde enhver
>NAT-router for en stateful inspection firewall.

Jeg brugte sådan set ikke ordet "firewall". Og det _er_ jo
faktisk "stateful inspection" NAT-rutere foretager.

Egentlig kan jeg ikke se hvilken "stateful inspection"-relateret
sikkerhed fx iptables leverer, som IP Masquerade ikke også
leverer - under den ikke uvæsentlige forudsætning at der faktisk
udføres NAT.

Personligt tenderer jeg til at bruge ordet "firewall" om et
apparat der leverer den isolation fra Internettet som man har
brug for. Så når en simpel NAT-ruter faktisk udøver en
tilstrækkelig beskyttende funktion (hvilket de jo ret tit gør,
især i sammenhænge hvor der slet ikke skal tillades forbindelser
på initiativ udefra), så kalder jeg den gerne en firewall - fordi
den faktisk fungerer som firewall.

Det betyder naturligvis slet ikke at jeg ville finde det rimeligt
at sælge sådan én som et generelt "firewall"-produkt. I min
terminologi hedder produktet en "NAT-ruter", men kan i visse
sammenhænge fungere fint som firewall.

Jeg anerkender i øvrigt til hver en tid gerne at Asbjørn har
meget mere forstand end jeg har på hvad netværksbranchens normale
terminologi er; hvis det er den man er interesseret i, skal man
klart lytte til Asbjørn snarere end til mig.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Kent Friis wrote:
>
> Den Mon, 18 Feb 2002 07:40:48 +0100 skrev Kasper Dupont:
> >Allan Olesen wrote:
> >>
> >> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> >>
> >> >I øvrigt burde firewallen kunne se, at der
> >> >lige har været en udgående pakke mellem samme porte.
> >>
> >> Kører alle disse personlige firewalls stateful inspection?
> >
> >Nej, det gør de nok ikke. Men de *burde* gøre det. Jeg
> >har kun selv erfaring med ipchains og iptables.
>
> ipchains har heller ikke stateful inspection.

Nej, derfor holdt jeg også op med at bruge den efter tre dage.
Og det er også det vigtigste argument for at bruge iptables
fremfor ipchains.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk