Windows beveiligen zonder firewall (grote frustratie)

[fredwoat]

Zeer algemeen bekeken, zijn firewalls geen perfecte oplossingen. Ze verbergen gewoon het probleem, laat me het even uittekenen.



Het is een ruwe schets, maar ik hoop dat het duidelijk genoeg is. Ik zit hier op een snelle Windows 7 workstation, maar probeer deze te beveiligen zonder firewall.

Wat ik probeer te bereiken is:
1. Niet reageren op ICMP echo requests.
2. Niet reageren als men iets stuurt naar poorten waar niks actief op is.

Het probleem moet ik niet meer uitleggen, dat doet de tekening al. Voor diegene die zeggen, gebruik gewoon een firewall, PCs zijn snel genoeg, het neemt nog altijd resources in beslag, en stress testen die ik uitgevoerd heb laten zien dat ik makkelijk 100% kan halen op de i7 2.80 GHz die er in steekt, terwijl diezelfde testen zonder firewall resulteren in 2 tot 3% CPU verbruik zonder firewall (hoge pakketten doorgang test). Het is altijd beter problemen bij de bron van de zaak op te lossen, in plaats van er een muur rond te bouwen.

Alvast bedankt aan diegene die hier iets nuttig kunnen bijdragen.

PS: Stel ook geen GNU/Linux besturingssysteem voor, die gebruik ik ook, en daar is het mogelijk, maar dat lost nog altijd het probleem op deze Windows 7 PC niet op.

[ubremoved_539]

Wat ik probeer te bereiken is:
1. Niet reageren op ICMP echo requests.
2. Niet reageren als men iets stuurt naar poorten waar niks actief op is.

Da's dus de taak van een firewall... die doet exact wat je eerst "geen perfecte oplossing" noemt ?

stress testen die ik uitgevoerd heb laten zien dat ik makkelijk 100% kan halen op de i7 2.80 GHz die er in steekt

Eerst en vooral draaien firewalls op vééél mindere hardware en die kunnen dit perfect... wat jij dus aan stress testen doet om een i7 plat te leggen is me totaal onduidelijk.

Het is altijd beter problemen bij de bron van de zaak op te lossen, in plaats van er een muur rond te bouwen.

De bron is het internet... zorg dus dat er niets binnen kan (een simpele router met NAT is hier al voldoende). Je sluit thuis toch ook niet iedere kastje dat je hebt af met een sleutel, je gaat ervan uit dat je buitendeur een goed slot heeft.

[fredwoat]

Ik heb die twee "features" niet nodig die ik probeer uit te zetten.

En ik wil geen firewall gebruiken voor iets waar normaal een aan/uit knop moet zijn. Lees a.u.b. mijn eerste post nog eens (een paar keer als het moet), aangezien jij niet echt begrijpt wat ik probeer te bereiken.

[TomG]

Niet reageren op ICMP request kan je voor zover ik weet niet uitzetten, aangezien dat gewoon aan de basis ligt om connectiviteit te testen. En in de meeste gevallen moet je inderdaad een firewall aanzetten omdat te blokkeren (het "plaats iets rond de lamp ipv ze uit te zetten" verhaaltje van uit uw startpost).

Indien er geen service luistert op een poort zal je die met een portscanner wel niet vinden?

Waarom een firewall trouwens wel vaak interessant is, is om services die luisteren op poort x y of z niet vanaf overal toegankelijk maken (bvb filteren op source ip adressen en subnetten,...). Zo heb ik ook een aantal services die in m'n LAN bruikbaar zijn, maar naar buiten toe expliciet tegengehouden worden door een firewall (omdat sommige van die devices niet achter een NAT router zitten).

[fredwoat]

Niet reageren op ICMP request kan je voor zover ik weet niet uitzetten, aangezien dat gewoon aan de basis ligt om connectiviteit te testen. En in de meeste gevallen moet je inderdaad een firewall aanzetten omdat te blokkeren (het "plaats iets rond de lamp ipv ze uit te zetten" verhaaltje van uit uw startpost).

Indien er geen service luistert op een poort zal je die met een portscanner wel niet vinden?

Waarom een firewall trouwens wel vaak interessant is, is om services die luisteren op poort x y of z niet vanaf overal toegankelijk maken (bvb filteren op source ip adressen en subnetten,...). Zo heb ik ook een aantal services die in m'n LAN bruikbaar zijn, maar naar buiten toe expliciet tegengehouden worden door een firewall (omdat sommige van die devices niet achter een NAT router zitten).

Bedankt voor uw reply.

Dat vreesde ik al. Ik heb geen lokale services van doen, en ik heb niks mee te delen met de buitenwereld daar in WAN, alleen maar requests, dus heb ik dingen als ICMP echo replies niet echt nodig. Zo van die services heb ik zo goed als uitgeschakeld, maar mijn computer reageert wel spijtig genoeg op ICMP requests, en spijtig dat je daar in Windows een firewall moet voor gebruiken.

Sommige mensen verwijderen gewoon het ping programma, maar Windows maakt systeembestanden terug opnieuw aan als die missen.

Ook nog, inderdaad, als je regels wilt opstellen wie wel en wie niet toegang mag hebben tot services, is een rule checking filter zoals een firewall perfect, maar voor iemand die iets volledig wil uitschakelen, is dat niet.

[ubremoved_539]

Ik heb die twee "features" niet nodig die ik probeer uit te zeggen.

Waar schrijf je dan... "wat ik probeer te bereiken" ?

En ik wil geen firewall gebruiken voor iets waar normaal een aan/uit knop moet zijn. Lees a.u.b. mijn eerste post nog eens (een paar keer als het moet), aangezien jij niet echt begrijpt wat ik probeer te bereiken.

Je gebruikt altijd (tenzij je hem uitzet) een firewall... of die nu in een aparte doosje zit, of in een PC. Ik begrijp dus inderdaad niet wat je wil bereiken, maar ik denk eerder dat je je vraag eens anders zal moeten formuleren.

Niet reageren op ICMP request kan je voor zover ik weet niet uitzetten, aangezien dat gewoon aan de basis ligt om connectiviteit te testen

Je kan dit perfect uitzetten... ICMP echo reply (el bevat het ICMP protocol heel wat meer dan louter dat) wordt soms wel eens geblokked (en zorgt dus dat een ping niet werkt terwijl er verder niets fout is met de server, en dus gewoon te bereiken is). Je kan het trouwens al dan niet enablen/disablen via "netsh firewall set icmpsetting 8 enable/disable"

[fredwoat]

Ik heb die twee "features" niet nodig die ik probeer uit te zeggen.

Waar schrijf je dan... "wat ik probeer te bereiken" ?

En ik wil geen firewall gebruiken voor iets waar normaal een aan/uit knop moet zijn. Lees a.u.b. mijn eerste post nog eens (een paar keer als het moet), aangezien jij niet echt begrijpt wat ik probeer te bereiken.

Je gebruikt altijd (tenzij je hem uitzet) een firewall... of die nu in een aparte doosje zit, of in een PC. Ik begrijp dus inderdaad niet wat je wil bereiken, maar ik denk eerder dat je je vraag eens anders zal moeten formuleren.

Niet reageren op ICMP request kan je voor zover ik weet niet uitzetten, aangezien dat gewoon aan de basis ligt om connectiviteit te testen

Je kan dit perfect uitzetten... ICMP echo reply (el bevat het ICMP protocol heel wat meer dan louter dat) wordt soms wel eens geblokked (en zorgt dus dat een ping niet werkt terwijl er verder niets fout is met de server, en dus gewoon te bereiken is). Je kan het trouwens al dan niet enablen/disablen via "netsh firewall set icmpsetting 8 enable/disable"

Als ik een firewall gebruik zal dat deel in mijn computer dat naar ICMP echo requests luistert, nog steeds luisteren voor requests, er zullen gewoon nooit requests aankomen indien ik een firewall gebruik.

Dat is het probleem, ik wil geen muur er rond bouwen, ik wil dat deel uitschakelen, niet blokkeren.

[ubremoved_539]

Dat vreesde ik al. Ik heb geen lokale services van doen, en ik heb niks mee te delen met de buitenwereld daar in WAN, alleen maar requests, dus heb ik dingen als ICMP echo replies niet echt nodig. Zo van die services heb ik zo goed als uitgeschakeld, maar mijn computer reageert wel spijtig genoeg op ICMP requests, en spijtig dat je daar in Windows een firewall moet voor gebruiken.

ICMP echo replies is een standaard onderdeel van de TCP/IP stack... wil je dit dus beperken moet je inderdaad een firewall gebruiken... en da's niet spijtig, maar gewoon normaal.

Sommige mensen verwijderen gewoon het ping programma, maar Windows maakt systeembestanden terug opnieuw aan als die missen.

Het ping programma heeft niets te zien met het feit of je PC een ICMP echo reply zal doen of niet... ping is gewoon het programma dat je gebruikt om te testen of andere PC's een ICMP echo reply doen. Mensen die dus het ping commando deleten weten totaal niet waar ze mee bezig zijn !

Ook nog, inderdaad, als je regels wilt opstellen wie wel en wie niet toegang mag hebben tot services, is een rule checking filter zoals een firewall perfect, maar voor iemand die iets volledig wil uitschakelen, is dat niet.

Maar het is ook niet de bedoeling iets volledig uit te schakelen (althans niet voor normaal gebruik zoals jou en mijn PC)... als je echt die behoefte hebt dan gebruik je Linux en hercompileer je je TCP/IP stack.

[ubremoved_539]

Dat is het probleem, ik wil geen muur er rond bouwen, ik wil dat deel uitschakelen, niet blokkeren.

Zelfs al zou je je TCP/IP stack hercompileren dan nog zullen de ICMP pakketjes toekomen op je PC... het enige wat je doet is het probleem intern in je PC wat dieper leggen. Feit blijft dat het onzinnig is (en niet volgens de TCP/IP standaardden) voor normaal gebruik om dergelijke dingen te blokkeren.

No hard feelings, maar volgens mij heb je ergens iets over security gelezen... en ben je nu paranoia.

Vraagje trouwens... gebruik je een router ?

[fredwoat]

Natuurlijk zullen ze nog steeds aankomen, maar mijn computer zal geen response terugsturen.

En wat is er zo gek aan dingen willen uitschakelen die je niet van doen hebt? Zolang mijn computer er op reageert wordt het probleem groter als er bijvoorbeeld een aanval wordt uitgevoerd op mijn PC, in plaats van alleen maar de storm op te vangen, zal mijn PC voor elk pakket ook nog eens een bevestiging terugsturen dat het is aangekomen.

[TomG]

Natuurlijk zullen ze nog steeds aankomen, maar mijn computer zal geen response terugsturen.

En wat is er zo gek aan dingen willen uitschakelen die je niet van doen hebt? Zolang mijn computer er op reageert wordt het probleem groter als er bijvoorbeeld een aanval wordt uitgevoerd op mijn PC, in plaats van alleen maar de storm op te vangen, zal mijn PC voor elk pakket ook nog eens een bevestiging terugsturen dat het is aangekomen.

Zoals je wellicht weet is een closed source OS niet meteen het meest geschikt om volledig naar je hand te zetten, in termen van kernel en systeem activiteiten.
Wat dat betreft ben je met Windows/Mac OS X/... vaak aan het verkeerde adres. Jammer, maar het is zo.

[MarkDM]

Een simpele router of modem-router houdt alles tegen dat van buitenaf geïnitieerd wordt. Zonder je computer te belasten .
Alleen wat je zelf in de portforwarding configureert laat hij door.
Het is toch dat wat je wil bereiken ? En dat is bij de bron, nl het internet.

[ubremoved_539]

En wat is er zo gek aan dingen willen uitschakelen die je niet van doen hebt?

Delete jij ook iedere EXE, DLL, ... of welke file dan ook die niet strikt van doen is op je PC ? Om nogmaals het voorbeeld te geven van daarstraks... doe jij ieder kastje en deur op slot in je huis ? Tenzij je paranoia bent niet veronderstel ik.

Zolang mijn computer er op reageert wordt het probleem groter als er bijvoorbeeld een aanval wordt uitgevoerd op mijn PC

Geloof me... er is niemand in de wereld die enige interesse heeft in jou PC (tenzij als bot member, maar dat ga je heus niet vermijden voor ICMP uit te schakelen)... trouwens als men een aanval zou doen dan ligt je ADSL of kabelverbinding toch plat... ongeacht of je nu replies doet of niet.

Maar heb je een router in gebruik ?

[ubremoved_539]

Het is toch dat wat je wil bereiken ? En dat is bij de bron, nl het internet.

Zo denk ik er ook over... maar blijkbaar vind hij een firewall "geen perfect oplossing".

Vandaar m'n vraag of hij een router heeft... zonder het misschien zelf te beseffen blocked hij reeds ICMP verkeer naar z'n PC (en is het dus onzinnig je TCP/IP stack van je PC te willen "massacreren" om toch maar niet te antwoorden zonder op de PC nogmaals een firewall te installeren).

[TomG]

Zijn DOS-attacs via ICMP überhaupt wel mogelijk? Zo goed ben ik nu ook weer niet op de hoogte. Want dat is toch wat je wil vermijden, right?

Dat je pakweg geen HTTP service wil laten draaien, begrijpbaar. Een niet gepatchte webserver kan daar zeker vulnerable voor zijn.

[fredwoat]

En wat is er zo gek aan dingen willen uitschakelen die je niet van doen hebt?

Delete jij ook iedere EXE, DLL, ... of welke file dan ook die niet strikt van doen is op je PC ? Om nogmaals het voorbeeld te geven van daarstraks... doe jij ieder kastje en deur op slot in je huis ? Tenzij je paranoia bent niet veronderstel ik.

Zolang mijn computer er op reageert wordt het probleem groter als er bijvoorbeeld een aanval wordt uitgevoerd op mijn PC

Geloof me... er is niemand in de wereld die enige interesse heeft in jou PC (tenzij als bot member, maar dat ga je heus niet vermijden voor ICMP uit te schakelen)... trouwens als men een aanval zou doen dan ligt je ADSL of kabelverbinding toch plat... ongeacht of je nu replies doet of niet.

Maar heb je een router in gebruik ?

Weer een vergelijking die niet past. Niemand kan mijn computer manipuleren met executables op mijn PC die ik niet gebruik, toch niet op een directe manier van buiten af. Maar men kan mijn computer wel manipuleren (laten doen wat zij willen) door een ICMP request pakketje te sturen.

En jij bent niet bekend met IP range scans? Zo laten sommig mensen software de hele bestaande range scannen, met bijvoorbeeld ICMP requests, als het toestel op dat adres reactie geeft -> betekent leven -> verder exploiteren.

[ubremoved_539]

Maar men kan mijn computer wel manipuleren (laten doen wat zij willen) door een ICMP request pakketje te sturen.

Men kan je computer heus niets laten doen door een ICMP packet te sturen... ik denk dat je teveel "boekskes" leest. Moest er effectief een kwetsbaarheid zitten in het ICMP protocol dan had je dit al lang geweten (en was het trouwens al gefixed).

En jij bent niet bekend met IP range scans? Zo laten sommig mensen software de hele bestaande range scannen, met bijvoorbeeld ICMP requests, als het toestel op dat adres reactie geeft -> betekent leven -> verder exploiteren.

Momenteel zijn bijna alle IPv4 adressen in gebruik... je hoeft dus heus niet echt op zoek naar een PC die reactie geeft... keuze genoeg. Trouwens port scans gebeuren rechtstreeks op kwetsbare services, en niet op ICMP echo replies (net omdat daar niets mee te bereiken is).

Je ontwijkt trouwens m'n vraag of je een router gebruikt of niet ?

[MarkDM]

En jij bent niet bekend met IP range scans? Zo laten sommig mensen software de hele bestaande range scannen, met bijvoorbeeld ICMP requests, als het toestel op dat adres reactie geeft -> betekent leven -> verder exploiteren.

En waarom gebruik je geen router met NAT om dat allemaal AAN DE BRON tegen te houden ?

[fredwoat]

En jij bent niet bekend met IP range scans? Zo laten sommig mensen software de hele bestaande range scannen, met bijvoorbeeld ICMP requests, als het toestel op dat adres reactie geeft -> betekent leven -> verder exploiteren.

En waarom gebruik je geen router met NAT om dat allemaal AAN DE BRON tegen te houden ?

Firewall stopt nooit iets bij de bron zelf, alleen maar onderweg als tussenmiddel.

[TomG]

Laten we het internet afschaffen (en alle andere bronnen van problemen in de echte wereld, dus inclusief economie en politiek) en het wordt een mooie, zorgeloze wereld!



Ik vraag me dan af: heb je ècht alle services die luisteren uit gezet? Want dat is toch wat je wil? Blijkbaar zou het met het eerder gegeven netsh commando toch mogelijk zijn om niet langer te antwoorden op pings. Reeds geprobeerd?

[fredwoat]

Laten we het internet afschaffen (en alle andere bronnen van problemen in de echte wereld, dus inclusief economie en politiek) en het wordt een mooie, zorgeloze wereld!



Ik vraag me dan af: heb je ècht alle services die luisteren uit gezet? Want dat is toch wat je wil? Blijkbaar zou het met het eerder gegeven netsh commando toch mogelijk zijn om niet langer te antwoorden op pings. Reeds geprobeerd?

Ik wil niet uitwijken naar firewalls.

[Astralon]

Firewall stopt nooit iets bij de bron zelf, alleen maar onderweg als tussenmiddel.

Men neme een schaar en we begeven ons richting (telefoon)kabel.
Eens ter plekke, nemen we de kabel vast en knippen die door. Beide delen hoeven niet even groot te zijn: deze oplossing werkt altijd.
Problem solved

[MarkDM]

Firewall stopt nooit iets bij de bron zelf, alleen maar onderweg als tussenmiddel.

De listening service uitschakelen is nog veel slechter: dit is het doel wegnemen. Maar er kan nog altijd naar geschoten worden. Maw de scan-pakketjes gaan dan nog altijd over je LAN, ze belasten nog je netwerkkaart. Pas intern in je pc wordt er dan beslist dat er geen enkele service moet op reageren ...
Dit is een 'end of pipe'-solution.

Een bakje ertussen is veel efficiënter. Alleszins dichter bij de bron dan wat jij wil doen.

[fredwoat]

Firewall stopt nooit iets bij de bron zelf, alleen maar onderweg als tussenmiddel.

De listening service uitschakelen is nog veel slechter: dit is het doel wegnemen. Maar er kan nog altijd naar geschoten worden. Maw de scan-pakketjes gaan dan nog altijd over je LAN, ze belasten nog je netwerkkaart. Pas intern in je pc wordt er dan beslist dat er geen enkele service moet op reageren ...
Dit is een 'end of pipe'-solution.

Een bakje ertussen is veel efficiënter. Alleszins dichter bij de bron dan wat jij wil doen.

Denk je dat een router oneindige performantie heeft? Je gaat gewoon de load verplaatsen. En dan zit je nog altijd met een firewall.

[ubremoved_539]

Denk je dat een router oneindige performantie heeft?

Nee, maar hij is er allesinds voor gemaakt... en dan ook in verhouding tot je internet aansluiting. Iedere huis-tuin-en-keuken router voldoet dus prima om de meeste rotzooi van je netwerk af te houden (en zal daar heus geen performance probleem mee hebben). Het is ook de enige correcte plaatst om de filtering te doen... aan de grens (ja een muur !) en niet op iedere PC zelf omdat dit nauwelijks te controleren valt.

Je gaat gewoon de load verplaatsen. En dan zit je nog altijd met een firewall.

Inderdaad, da's net de bedoeling... filteren op een router die daar gemaakt voor is.

En wat is er nu fout met die firewall... waar heb je dat idee opgedaan ?

[fredwoat]

Je gaat gewoon de load verplaatsen. En dan zit je nog altijd met een firewall.

Inderdaad, da's net de bedoeling... filteren op een router die daar gemaakt voor is.

En wat is er nu fout met die firewall... waar heb je dat idee opgedaan ?[/quote]

Zie post #1, ik zoek naar een aan/uit switch methode, geen filter methode. Maar die bestaat blijkbaar niet in Windows dus valt er niet echt verder over te praten.

[Astralon]

Zie post #1, ik zoek naar een aan/uit switch methode, geen filter methode. Maar die bestaat blijkbaar niet in Windows dus valt er niet echt verder over te praten.

Echt veel van TCP/IP ken je niet hé?
Als een pakketje op je firewall, router of computer voorbijkomt dan moet de stack en de bijhorende services per definitie "kijken" of het pakketje wel voor hen bedoeld is. Wil je dat ze hier niet op reageren dan gebeurt er gewoon niets extra: de pakketjes blijven voorbijkomen, ze worden nog steeds geinspecteerd en als je bijvoorbeeld geen reply wilt dan gebeurt er voor de rest ook niets mee.
Of je dit nu filteren noemt of aan/uit dat zal de zaak niet veranderen.

Een echte aan/uit is zoals ik reeds eerder zei: zorgen dat de pakketjes niet verstuurd worden (en daar heb je geen controle over) of je internetverbinding doorknippen.

[ubremoved_539]

Echt veel van TCP/IP ken je niet hé?

Ik heb de indruk dat hij zich blind staart op z'n initiele tekening die zegt dat firewalls niet goed zijn, en je effectief de service moet uitschakelen. Natuurlijk zit daar een deel waarheid in, maar zeker niet dat een firewall "slecht" is.

Op je PC zet je inderdaad services af die je niet gebruikt (SMTP, HTTP, ... servers), maar daar bovenop heb je STEEDS nog een firewall die de servers in zijn geheel beschermt. De bedoeling van een firewall is net om de risico's in je PC te beperken door alle poorten te blokkeren (tenzij specifieke uitzonderingen dmv. port forwarding). Je laat namelijk geen internet verkeer toe tot op je PC (algemeen OS) als je dat reeds daarvoor kan filteren dmv een dedicated OS.

En met services uitschakelen hebben ze het dus zeker niet over het massacreren van TCP/IP !

[deej]

Heel deze discussie is vanuit security standpunt irrelevant vermits de echte bedreiging via laag 7 van het OSI model wordt afgeleverd. Een PC raakt niet geïnfecteerd of gedestabiliseerd door ICMP pakketjes of enig andere L3 / L4 pruts, hij raakt geinfecteerd door spyware die gewoon mee op in je webbrowser komt. En zich liefst verstopt in SSL waardoor geen enkele firewall hem zal tegenhouden. Daarvoor heb je veel verregaandere host based security nodig.

[Astralon]

...via laag 7 van het OSI model...

lol, ik dacht "ik hou het simpel"

En zich liefst verstopt in SSL waardoor geen enkele firewall hem zal tegenhouden. Daarvoor heb je veel verregaandere host based security nodig.

'k vraag me dan toch af wat hij precies wilt want hij beweert een Linux oplossing te hebben?

[ubremoved_539]

'k vraag me dan toch af wat hij precies wilt want hij beweert een Linux oplossing te hebben?

Tja, hij kan altijd z'n TCP/IP stack opnieuw gaan compileren (eerst alle ICMP code eruit gooien) als hij zich daar beter bij voelt.

Ik vrees dat dit een geval is van klok, klepel, ... denk dat hier meer dan genoeg advies is gegeven ondertussen.

[Tomby]

Ik snap echt niet waarom je tegen een firewall bent, laat staan dat het je grote frustraties oplevert. Je Windows volledig willen dichtschroeven omdat je geen firewall wil gebruiken is gewoon te gek voor woorden. Het is zoals iemand hier al zei: je wil al je kasten sluiten omdat je geen zin hebt een voordeur te steken in je huis. En volgens mij ben je nog altijd beter af met een goeie firewall + open windows dan met geen firewall en dichtgeschroefde windows.

Je analogie met die gloeilamp klopt overigens van geen kanten want je kan nu eenmaal binnenkomende traffiek niet bij de bron aanpakken. Een betere vergelijking zou zijn dat je absolute duisternis wil om te kunnen slapen. Om de een of andere reden wil je echter blijkbaar liever je ogen uitsteken dan de rolluiken dichtdoen...

[fredwoat]

Jullie begrijpen mijn originele doel niet. Een firewall gebruiken met het doel je PC te beveiligen is niet perfect. Om verkeer te filteren, wel.

Veel mensen willen dat hun PC niet reageert op dingen zoals ICMP echo requests, en firewalls blokkeren dat. Maar dan nog, dat stukje in je PC dat reageert op ICMP echo requests met een reply blijft nog steeds luisteren, alhoewel de firewall er tussen staat, blijft deze door gaan.

Het voorbeeld met de lamp, ook al is het overkoepelt met iets wat het blokkeert, zodat je het licht niet meer hebt (wat je wenst), toch blijft het nog branden en verbruiken.

Ik vind het niet kunnen dat zo dingen niet zonder een firewall volledig afgezet kunnen worden, daarom vroeg ik mij ook af of dit volledig uitgeschakeld kon worden, niet gewoon blokkeren, maar afzetten.

Ook nog, als je een ICMP reply terugstuurt, dan komt die van jezelf, dus dan ben jij de bron van die reply.

Ik hoop dat het nu wat duidelijk is, en de discussie is een paar posts terug al gestopt, aangezien ik het antwoord gekregen had (dat het niet mogelijk is).

[ubremoved_539]

Jullie begrijpen mijn originele doel niet. Een firewall gebruiken met het doel je PC te beveiligen is niet perfect. Om verkeer te filteren, wel.

En wat is het resultaat van filteren... inderdaad beveiliging

Veel mensen willen dat hun PC niet reageert op dingen zoals ICMP echo requests, en firewalls blokkeren dat.

Eerst en vooral ben jij de eerste die ten alle kost ICMP echo replies (eigenlijk wil je zelfs het ICMP protocol uit je stack slopen) wil verhinderen op z'n PC... en ten tweede als die firewall er nu voor zorgt dat er geen ICMP echo requests op je PC toekomen is dit perfect aangezien je interne LAN dan ook geen vervuiling heeft van dat verkeer.

Maar dan nog, dat stukje in je PC dat reageert op ICMP echo requests met een reply blijft nog steeds luisteren, alhoewel de firewall er tussen staat, blijft deze door gaan.

Je TCP/IP stack zal altijd luisteren... vergelijk het met mail op je PC... je zal zowel goede mails als spam ontvangen wat je echter kan oplossen door deze op voorhand te laten "filteren". Wat jij echt wil is "spammail" uitschakelen op je PC... wat niet kan... mail is mail. Om spammail te kunnen uitschakelen moet je dus eerst de mail ontvangen.

Ik vind het niet kunnen dat zo dingen niet zonder een firewall volledig afgezet kunnen worden

Zoek een andere hobby zou ik zeggen... ga postzegels verzamelen

[jan28]

Dit is nu nog eens een leuke discussie, zelfs voor een leek zoals ik.
Ik was aan het denken om naar de VRT te bellen om te stoppen met uitzenden in plaats van mijn radio af te zetten.

[VOiD]

Man man man... Deze topic is verspilling van mijn o zo kostbaar belgisch downloadvolume.

[Sub Zero]

Ik vind het net geen weggegooid volume trouwens. Eens goed lachen en maar 100kB verbruikt hebben: eat that youtube!

[FUBAR]

Horatio heeft gisteren een moordenaar kunnen oppakken met een speciaal ICMP-pakket, het ging dwars door de firewall!


Y-Y-Y-Y-Y-Y-Y-Y-E-E-E-E-E-E-E-E-E-A-A-A-A-A-A-A-A-A-A-A-H-H-H-H-H-H-H-H.


M.a.w., geen CSI meer voor fredwoat.

[liger]

beetje gelijk klagen over het geluid in de ruimte in star wars

[fastman]

Horatio heeft gisteren een moordenaar kunnen oppakken met een speciaal ICMP-pakket, het ging dwars door de firewall!


Y-Y-Y-Y-Y-Y-Y-Y-E-E-E-E-E-E-E-E-E-A-A-A-A-A-A-A-A-A-A-A-H-H-H-H-H-H-H-H.


M.a.w., geen CSI meer voor fredwoat.

ik moest toch even lachen

Wil je veilig computeren? Trek de stekker uit !