Jetico und TorrentClients - wie konfigurieren?

Tallmann

Herzlich willkommen!
Hallo erstmal,

seit einiger Zeit probiere ich die Firewall 1.0 bzw. 2.0beta aus, um zu ermitteln, ob diese Firewall meine Computerkenntnisse überfordert oder eben nicht.
Da sie bei den Leaktests ja sehr gut abschneidet und wenig Systemresourcen benötigt, zudem auch noch kostenlos ist und somit eine Firewall der ersten Wahl.
Meine Rechnerkonfiguration ist:
- Einzelplatzrechner ohne Computernetzwerk
- analoges Modem für Internetzugriff

1. Unklarheit:
Nachdem ich die Firewall installiert und den Rechner neu gestartet habe, werde ich von der Firewall aufgefordert, mehrere Entscheidungen bezüglich verschiedener Systemprozesse und diverser Programme zu treffen (zu dem Zeitpunkt habe ich noch keine Internetverbindung aufgebaut !). Die Ereignisse (Event) die abgefragt werden sind "Access to network" und "Indirect access to network". Ich verstehe nicht, daß diese Ereignisabfragen "Access to network" und "Indirect access to network" zu einem Zeitpunkt auftreten, zu dem noch gar keine Netzwerkverbindung (Internet) aufgebaut wurde. Außerdem bin ich als Einzelplatzrechner in kein Netzwerk eingebunden. Bei Sygate zum Beispiel werde ich erst dann aufgefordert eine Entscheidung zutreffen, wenn ich Online gehe.

2. Unklarheit:
Das Ereignis:
"Network Activity TCP/IP - send datagram - C:\WINDOWS\System32\svchost.exe - 212.60.192.100 (Remote) 1025 (Lokal) 53 (Remote)"
habe ich an die Jetico-voreingestellte Regel "DNS" weitergeleitet. Trotzdem werde ich bei jeder Einwahl (erste Einwahl des Tages) jedesmal neu befragt und vor eine Entscheidung gestellt, obwohl ich für dieses Ereignis ja eigentlich eine Entscheidung in Form einer Jeticoregel (DNS-Regel) getroffen habe.
Die Parameter für dieses eintreffende Ereignis sind immer die gleichen (siehe Werte oben).

Ich vermute mal, daß mich die Firewall doch überfordert und ich dann bei Ereignisabfragen falsche Entscheidungen treffe, die verheerende Folgen haben können.
Das interessante an der Firewall ist, daß sich die Funktionsweise einer Firewall bei den jeweiligen Einzelabfragen und Entscheidungen erklärt. Bis zu dem Punkt, an dem Unklarheiten auftreten. Vielleicht könnten diese geschilderten Unklarheiten in Form einer Anleitung gelöst werden.

Mit freundlichem Gruß
Tallmann
 

Franz

assimiliert
Hallo und herzlich willkommen :),

gleich zu deinen Unklarheiten:

zu 1.:

Mit "Network" spricht Jetico gleichzeitig das Internet, wie auch ein Lokales Netzwerk an.
Beides ist für eine Firewall dasselbe (Protokoll).
Der Aufruf "Access to network" hat den Hintergrund, daß, auch bei Offline,
Programme versuchen, auf die jeweiligen Ports zuzugreifen (Event).
Programme wissen nicht, ob der PC On- oder Offline ist.
Aber Jetico registriert den Zugriff trotz allem auf den Port, eben das Ereignis.
Was mich stutzig machen würde, ist die indirekte Verbindung eines Programmes.
Die Meldung taucht dann auf, wenn ein Dienst oder Programm über ein weiteres Programm
gestartet wird.


zu 2.:

die svchost.exe wird beim Start neu aufgerufen, weil sich das Programm,
das die .exe aufruft, mit dem Internet verbinden will. In deinem Fall mit der IP 212.60.192.100.

Nebenbei:
Um alle Programme/Dienste schnell ausfindig zu machen, die über svchost.exe
telefonieren:
Start-> Ausführen -> "cmd" eingeben-> OK -> tasklist/svc | more
eingeben und Enter drücken.


Die IP, die bei dir immer aufgerufen wird, gehört, meines Wissens, zu Smart91.
Hier werden dir bei jedem Start/Verbinden dynamische Adressen zugewiesen
(s.a. Konfiguration Smart91: "DNS-Serveradresse automatisch beziehen“).
Die ServerAdresse wird daher immer nur für eine (Internet-) Sitzung erteilt.
Und die Adresse wird dann über UDP Port (verm. 1026) übermittelt.
Hier wäre eine eigenständige Regel - entweder für das Verbindungstool - oder für die svchost. exe notwendig.
Weniger sicher, dafür nicht mehr ganz so aufwendig, wäre eine Regel für svchost.exe.
Der Nachteil hier wäre:
Alle Update Programme können dann über diese Regel ungehindert ins Netz, wenn sie die svchost.exe benutzen.

Hoffentlich habe ich ein wenig helfen können.
 

Tallmann

Herzlich willkommen!
Vielen Dank erstmal für die rasche Reaktion auf meine Fragen.

zu 1.: "Access to network".
Wenn ich das richtig verstanden habe, muß ich also bei dem Auftreten dieser Meldung dem jeweiligen Programm oder Dienst auf jeden Fall den "Access to network" gestatten, damit das Programm überhaupt ausgeführt werden kann unabhängig davon, ob das Programm Internetaufgaben wahrnehmen muß oder nicht.

Ich stelle mal eine Liste zusammen die auf meinem Rechner "Indirect access to network" darstellt und vor dem ersten Internetzugriff "Indirect access to network" anfordert.

Indirect access to network (Systemprozesse):
Explorer.exe, csrss.exe, lsass.exe, services.exe, svchost.exe, winlogon.exe, userinit.exe, ctfmon.exe, wmiprvse.exe, imapi.exe, spoolsv.exe, wuauclt.exe

Indirect access to network (Programmprozesse):
jpfsrv.exe, jpf.exe, fdm.exe (DownloadManager), wmplayer.exe, SNDvol32.exe (irgendwas mit Sound), Counter2001.exe (OnlineCounter), firefox.exe, avp.exe (Antivirenprogramm), SynTPLpr.exe (irgendwas mit Synaptic)

zu 2.: "svchost".
Da ich bedingt durch Internet Call by Call Verfahren den Provider häufig wechsle, muß ich folglich permanent diesen Zugriffsbereich individuell konfigurieren und anpassen. Da komme ich ja kaum noch zu den Dingen weshalb ich ja eigentlich ins Internet gehen wollte. Mal ganz abgesehen davon, daß ich dann trotzdem noch ein unsicheres Gefühl für die richtigen Einstellungen habe.

Du siehst also wie hilflos ich diese Dienste und Programme delitantisch beschreibe und damit umgehe. Daraus wird deutlich, daß eine sichere Konfiguration meines Rechners für mich als Laien mit Hilfe der Jetico Firewall wohl nicht zu machen ist. Dies trifft vor allem auf die Windowsdienste zu, die unterstützt durch die abkürzenden Bezeichnungen sich für mich nicht erklären (zum Beispiel: csrss,lsass,ctfmon,wmi,imapi, und so weiter). Die Jetico Firewall ist sicherlich für Profis sehr gut geeignet; für mich als Laien jedoch (mit viel zu viel Halbwissen) aber auch sehr gefährlich. Trotz alledem nochmals ein Dankeschön für die Hilfe.

Mit freundlichem Gruß
Tallmann
 

Franz

assimiliert
Schade,

aber trotzdem will ich deine Fragen noch beantworten.
Wenn ich das richtig verstanden habe, muß ich also bei dem Auftreten dieser Meldung dem jeweiligen Programm oder Dienst auf jeden Fall den "Access to network" gestatten, damit das Programm überhaupt ausgeführt werden kann unabhängig davon, ob das Programm Internetaufgaben wahrnehmen muß oder nicht.
Nein.
Das Programm kann weiterhin benutzt werden, nur bekommt es keinen Zugang zum Internet.

Zu den indirekten Zugriffen auf das Internet (Indirect Access to Network):

Es ist für jeden verwirrend, wenn er über die Anzahl, Abkürzungen und
Schreibweise von Systemprozessen und Diensten stolpert.
Mir geht es da nicht anders, auch wenn mir inzwischen der eine oder andere geläufig ist.

Zu Beginn meines Tutorials schrieb ich, daß sich eine Einarbeitung lohnt.
Auch hinsichtlich der Systemprozesse.
Allerdings kann ich niemandem eine Richtlinie geben,
welche Prozesse blockiert werden sollen, das unterliegt jedem einzelnen.
Das gleiche gilt für Programmprozesse.
Welche Programme raus dürfen oder nicht, entscheidet der User.

zu svchost:

Die svchost.exe benötigt erst einmal nur deine Call by Call Software.
Von daher brauchst du diese nicht jedesmal zu konfigurieren.
Bei mir habe ich svchost.exe den Zugang gewährt.

Nebenbei:
Gerade fällt mir auf, was ich noch bei meinem Tut vergaß, das ich aber noch ergänzen werde, ist,
daß Jetico beim Ausschalten nachfragt, ob die aktuellen Änderungen gespeichert werden sollen. (s.Anhang) :)
 

Anhänge

  • save1.jpg
    save1.jpg
    10,6 KB · Aufrufe: 206

Tallmann

Herzlich willkommen!
Ich möchte doch nochmal auf das "svchost Problem" zurückkommen. Die immer wiederkehrende Firewallmeldung (direkt nach Verbindungsaufbau) mit der Aufforderung eine Entscheidung zu treffen, verstehe ich immer noch nicht. Dazu der unten stehende Protokolltext als Beispiel. Übrigens wechselt der Eintrag im Bereich Programm
Mal ist es direkt nach Verbindungsaufbau Firefox.exe oder das Programm Webmon.exe oder Internet Explorer (alles Programme die auf meinem Rechner laufen)
Die einzige Änderung bei den jeweiligen Ereignissen ist der Lokale Port. Bei Firefox ist es 1305 und 1267, bei Internet Explorer ist es 1291, bei svchost ist es 1025 und 1026. Alle anderen Parameter bleiben gleich (siehe Protokoll). Ich übergebe das Ereignis an die "Jeticohausregel" DNS (wegen Port 53 und Protokoll TCP/IP).
Dieses DNS Regelwerk (3 Regeln) lautet wie folgt:

accept TCP TCP/IP outbound connect name server 53
accept UDP TCP/IP send datagram name server 53
accept UDP TCP/IP receive datagram name server 53

Protokolltext:
Datum/Uhrzeit: 2006-10-11 10:20:22
Aktion:ask
Beschreibung: Network Activity
Protokoll: TCP/IP (bleibt gleich)
Ereignis: send datagram (bleibt gleich)
Programm: C:\WINDOWS\System32\svchost.exe (ändert sich)
Lokale Add.: 0.0.0.0 (bleibt gleich)
Remote Add.: 212.60.192.100 (bleibt immer gleich, egal welcher Provider)
Lokaler Port: 1026 (ändert sich je nach Programm)
Remote Port: 53 (bleibt gleich)
Weitere Ang.: PID: 1064; Connection: D3 (ändert sich)

Wie gesagt ich dachte, wenn ich die oben erwähnten Ereignisse (Protokolltext) diesem DNS-Regelwerk übergebe, wird beim Nächstenmal das Ereignis kommentarlos über die DNS-Regel geführt.
Ich werde stattdessen jedesmal wieder neu aufgefordert und gebe das Ereignis an die Jetico-DNS-Regel weiter und beim Nächstenmal wieder und wieder. Ich verstehe es nicht und kehre deswegen zu Sygate zurück.

Mit freundlichem Gruß
Tallmann
 

Franz

assimiliert
Warum gibst du nicht für die svchost.exe alle Ports frei?
Es spricht nichts dagegen hier die Ports unter "Local Address" auf "Any" zu setzen.
Oder du weist ihr manuell einen Bereich (port range) zu (von 53 bis 1042, z.B.).
 

Tallmann

Herzlich willkommen!
Mal abgesehen davon, daß ich die Wahleinstellungen "any" für beliebige Ports nicht finde und du mir den Tipp gibst, zum Beispiel für "svchost" alle Ports freizugeben kann ich wie schon im vorigen Beitrag erwähnt gleich wieder Sygate nutzen.

Abschließend möchte ich resumieren, daß ich, wie schon am Anfang meiner Anfrage erwähnt, auf diesem Gebiet ein absoluter Laie bin, der sich wohl mit der sicheren Firewallkonfiguration übernommen hat. Für Personen wie mich gibt es halt die vorkonfigurierten Lösungen diverser Softwareanbierter. Fachleute werden jetzt natürlich sagen: "Diese vorgekauten sogenannten Firewallprodukte machen das System in ihrer Sorgloseinstellung noch unsicherer" Das mag sein. Aber bevor ich eine Einstellung vornehme für ein auftretendes Ereignis, das ich nicht logisch einordnern und somit keine richtige Regel erstellen kann, schließ ich mich dem Verhalten der großen breiten Masse an.
Die Funktionsweise des Netzwerkverkehrs begreife ich einfach nicht. Ich begreife zum Beispiel auch nicht warum mansche Datenübertragungsraten in Bit/sec und dann wieder in Byte/sec (Faktor 8) angegeben werden, aber das ist ein anderes Thema.

Nochmals vielen Dank für die Bemühungen mit dem Ziel mir die Jetico Firewall näher zu bringen

Mit freundlichem Gruß
Tallmann
 

pht

Herzlich willkommen!
Auch ich überlege wieder zu Outpost zurückzukehren. Mir gefällt die Jetico FW sehr gut, nur finde ich einige Sachen irgendwie unlogisch.

1.
Gestern z.B. erstellte ich mit dem Notepad ein paar kleine Textdateien. Heute, als ich den Rechner eingeschaltet habe und das Programm wieder öffnete, erschien dieses Popup Fenster:
notepadyr3.png

Warum nicht schon gestern (machte ich heute doch alles genauso)?


2.
Das FW Symbol in der Taskleiste. Gestern blinkte es noch bei Datenverkehr, heute egal was ich mache, bleibt es die ganze Zeit inaktiv...
icontq2.png

Gestern noch grün, rot oder grau, heute nur grau...


3.
In einem anderen Forum habe ich eine Regel für Utorrent gefunden. Wenn ich diese Regel dem Programm zuweise, scheint alles normal zu funktionieren. Sowohl der Download, als auch der Upload werden (von Utorrent selbst!) angezeigt. Auch gibt es bei der Verbindung ein "Ok Zeichen".

Doch der Schein trügt, denn der ganze Upload wird von Jetico geblockt. Mein "Tdsl Speedmanager" zeigt keinen Upload an (das einzige was sich dort tut, wird wahrscheinlich vom Jetico Log verursacht, denn wenn man die "Warnungen" abstellt, zeigt Tdsl Speedmanager "0" Transfer an). Download läuft (doch auch der ist limitiert).

Die Regel für Utorrent sieht so aus:
utorrentregelfn5.png

und befindet sich in "Aplikation Table" -> "Ask User"

Im Log erscheinen lauter Warnungen über geblockte Packete. Das komische ist, es steht bei allen "incoming packet", obwohl auch der rausgehende Datenstrom verworfen wird.

Beispiel:
reject "Block All not Processed IP Packets" TCP "incoming packet" Source adress: "192.168.2.2" Destination adress: "eine fremde IP" Source port: "1202" Destination port: "80"

Hier tatsächlich ein ankommendes Packet (?):
reject "Block All not Processed IP Packets" TCP "incoming packet" Source adress: "eine fremde IP" Destination adress: "192.168.2.2" Source port: "3346" Destination port: "64999"

Ich habe ein wenig mit den Einstellungen in der Utorrent Regel "rumgespielt", aber es will sich einfach nichts ändern. Alles scheint letztendlich durch die "Block All not Processed IP Packets" Regel (in der "System IP Table") geblockt zu werden:
blockvp8.png


Als ich es kurz auf "accept" umgestellt habe, funtionierte Torrent normal.

Resultiert die "System IP Table" Blockade aus falscher Einstellung in der "Utorrent Regel"? Greift "System IP Table" nur dann ein, wenn etwas "zuvor" in der Programmspezifischen Regel nicht eindeutig definiert wurde? was kann ich ändern?

4.
Und noch etwas, was ich nicht verstehe. Wenn ich eine Seite aufrufe (www.supernature-forum.de z.B.), erscheint im Log folgendes:
fflogdb2.png

Was wird dort (angeblich) geblockt und vor allem warum (wieso wird die Seite dann trotzdem ganz normal aufgebaut)? Es ist übrigens die standard Regel für Web Browser.


Leider ist zu Vieles merkwürdig...
 

Franz

assimiliert
Erstmal Hallo und herzlich Willkommen bei uns :),

am besten gehen wir Punkt für Punkt durch.

zu 1.:
Evtl. hat Notepad2 einen Updateversuch gestartet.

zu 2.:

Das Problem mit dem ergrauten Icon ist bekannt. Hier soll ein Neuinstallation helfen. Ursache: KA.

zu 3.:

So, wie das für mich ausschaut, hast du mit der Regel den gesamten Torrentverkehr (TCP) blockiert.
Hier steht eindeutig "Block UTorrent".
Herauszufinden, wie deine gesamte IP Tables konfiguriert sind, dürfte zu aufwendig sein.
Torrent belegt bei Up- und Download jedes Packet mit SYN-, ACK - Flags (Synchronisation und Bestätigung des Pakets).
Das dürfte der Incoming Verkehr sein.
Es kann durchaus sein, daß eine Regel einer anderen widerspricht.
Im Wilders Security Forum raten einige Boardies dazu,
vor Konfigurationen von Torrentregeln alle Regeln für System IP Table zu löschen.
Welche Regel hattest du dir für Torrent besorgt?
Im Anhang habe ich ein funktionierendes Ruleset für uTorrent.

zu4.:

Im Logfile hast du am Ende meist die Ports: 1028, 1029
Wahrscheinlich erscheint auch noch irgendwo 1027, 1030.

Das sind Ports, die bestimmt sind für das DCOM System, ein Windowsprozess, der u.a. ermöglicht, Programmen im Netzwerk kommunizieren zu lassen.
Die Ports müssen für das Internet geschlossen sein. Das Log zeigt Scans an.
 

Anhänge

  • ruleset.zip
    1,8 KB · Aufrufe: 136
Zuletzt bearbeitet:

pht

Herzlich willkommen!
arcanoa schrieb:
Erstmal Hallo und herzlich Willkommen bei uns :),
Hallo :) Danke für Deine Hilfe :).

arcanoa schrieb:
zu 1.:
Evtl. hat Notepad2 einen Updateversuch gestartet.

Das hab ich auch zuerst gedacht, aber würde er dann nicht auch ins Internet wollen (was nicht der Fall war)? Merkwürdig auch diese Meldung: http://img106.imageshack.us/img106/7241/jetzm3.png nachdem ich gestern und heute Stundenlang mit der FW rumexperimentiert habe. Das gleiche ist mir auch bei dem start von Firefox passiert. Mal startet er normal, mal will er erst erscheinen, nachdem man ihm den Zugang zum lokalen Netz freigibt. Löscht man die Regel wieder und startet ihn neu, ist es unterschiedlich. Ich finde es komisch.

arcanoa schrieb:
zu 2.:

Das Problem mit dem ergrauten Icon ist bekannt. Hier soll ein Neuinstallation helfen. Ursache: KA.
Ok, das ist auch nicht so schlimm. Nach einem Neustart des Rechners, blinkt es jetzt wieder...

arcanoa schrieb:
zu 3.:

So, wie das für mich ausschaut, hast du mit der Regel den gesamten Torrentverkehr (TCP) blockiert.
Ist es wirklich so? Der Download scheint doch teilweise zu funktionieren.

arcanoa schrieb:
Hier steht eindeutig "Block UTorrent".
Ich dachte, dass es bedeutet, dass mich Jetico nicht mit Fragen belästigen soll, falls etwas anderes passiert, was nicht in den 4 Regeln (davor) erlaubt wurde (und automatisch geblockt wird).

arcanoa schrieb:
Welche Regel hattest du dir für Torrent besorgt?
Im Anhang habe ich ein funktionierendes Ruleset für uTorrent.
Es ist die gleiche, wie bei Dir - auch aus diesem Forum (siehe Bild im Beitrag oben). Wenn ich Deine Regel lade, steht es nämlich auch da:
bittornadobk5.png

Aber auch ohne dieser Regel - wenn ich alles "von Hand" erlaube (oder Utorrent sogar der "vertrauten Zone" zuweise), wird der Verkehr am Ende durch die "Block All not Processed IP Packets" Regel in der "System IP Table" geblockt. Wie ich im Beitrag davon schon schrieb, funktioniert der Torrent, sobald man es auf "accept" stellt.


arcanoa schrieb:
Herauszufinden, wie deine gesamte IP Tables konfiguriert sind, dürfte zu aufwendig sein.
Alles standard, wie nach der Installation.

arcanoa schrieb:
zu4.:

Im Logfile hast du am Ende meist die Ports: 1028, 1029
Wahrscheinlich erscheint auch n0ch irgendwo 1027, 1030.
Nein. Ich habe jetzt ca. 10 verschiedene Seiten aufgerufen und es gibt jetzt keinen "Source Port", der kleiner ist als "1100". Auch beim Aufruf dieser Seite, sind die Nummern nicht mehr wie vorher, sondern bei "1200". Auch dafür ist die "Block All not Processed IP Packets" Regel verantwortlich...

Hmm...
 

pht

Herzlich willkommen!
Das Utorrent und Browser Problem scheint behoben zu sein. Die Ursache war wieder einmal ich ;). Vor der FW Installation (bzw. Outpost Deinstallation), zog ich den Netzwerk Stecker raus, installierte Jetico und liess den "Wizard" laufen. Es wurden für die "Trusted zone" folgende Werte: 127.0.0.1 und 127.0.0.0/8 vorgeschlagen.
Als ich es jetzt nocheinmal laufen liess, wurde mit der Verbindung zum Router zusätzlich "192.168.2.0/24" angezeigt. Jetzt scheint alles in Ordnung zu sein. Die Regel greift und "System IP Table" lässt diese auch mit der komischen "Block All not Processed IP Packets" Meldung in Ruhe. Diese Warnung (& Blockade) kommt erst dann, wenn Utorrent aus ist und Jetico scheinbar nichts mit den ankommenden Datenpacketen anfangen kann. Auch die Browser Log Einträge sind nicht mehr da :).

Was mich aber noch irritiert, ist die rote Markierung des Datenverkehrs: http://img282.imageshack.us/img282/6826/trafficrm9.png Bedeutet rot = blockiert?

Wenn nicht, scheint Punkt 3. und 4. gelöst zu sein. Wenn sich die FW nicht von alleine schliesst, oder noch andere Probleme dazukommen, dann werde ich sie behalten, da sie sonst wirklich einen guten Eindruck macht...

Danke :)
Gruß
 

Franz

assimiliert
Gestern unterlief mir doch ein kleiner Fehler, nämlich genau der,
daß ich nicht gleich sah, daß "Block uTorrent" erst dann greift,
wenn alle anderen Regeln durchlaufen sind. Asche auf mein Haupt.:rolleyes:

Ursache für mein Fehlentscheid hierfür sind diese dämlichen notwendigen Torrent Flags, die,
wenn sie geblockt werden, automatisch den gesamten UL/DL blockieren.
Dem ist natürlich nicht so, da sie auch über TCP laufen.

Wenn es jetzt nach der Neuinstallation funktioniert, wunderbar.
Offensichtlich wurde der Router nicht korrekt in die Regeln integriert.

Die roten Balken bedeuten schon geblockte Pakete. Das Bild hatte ich einmal,
als meine 2. Netzkarte nicht im richtigen Netz war.
Was sagt denn der Log darüber?
 

pht

Herzlich willkommen!
arcanoa schrieb:
Offensichtlich wurde der Router nicht korrekt in die Regeln integriert.
Dazu noch eine Frage, da ich mir immer noch etwas unsicher bin. Vorgeschlagen wird von Jetico folgendes: "127.0.0.1" "127.0.0.0/8" und "192.168.2.0/24"
Ist das denn richtig, wenn die IP Adresse meiner Netzwerkkarte "192.168.2.2" und des Routers "192.168.2.1" ist? Wollte mich nochmal vergewissern, weil ich davon keine Ahnung habe.

arcanoa schrieb:
Die roten Balken bedeuten schon geblockte Pakete. Das Bild hatte ich einmal,
als meine 2. Netzkarte nicht im richtigen Netz war.
Was sagt denn der Log darüber?
Der Log sagte zuerst garnichts. Da hier aber einiges unkommentiert geblockt wird, habe ich eine Regel von Log Level: "disabled" auf "notice" umgestellt und es kam zum Vorschein, dass die Ursache in der "System IP Table" -> "System Internet Zone" liegt:
regelxw1.png


Wenn man es auf "notice" stellt kommt nämlich das:
drop2iy8.png


Als ich es "kurz" auf "accept" umgestellt habe, wurde bei Utorrent der Upload sofort "grün":
traffic03gj0.png


Die Regel greift bei Checksum: "invalid"... Warum sind die Packete für die "System IP Table" nicht ok?

Auf dem "Traffic Monitor" sieht es so aus, als ob 9/10 vom Upload geblockt sein müssten. "Dsl Speedmanager" zeigt aber schon ungefähr die gleichen Werte, wie Utorrent (und diese sind soweit normal - bzw. scheint der Upload trotz der angeblichen Blockade durchzukommen). Hmm...
 

Franz

assimiliert
Also,

- die IP 127.0.0.1 incl Netz, ist dein lokaler Host, dein PC und für ihn reserviert.
- die IP 192.168.2.2 und 192.168.2.1 sind im gleichen Netz (192.168.2.0/24), was sie sein müssen, sonst finden sie sich nicht.
- dann hat sich mein Verdacht doch halbwegs bestätigt, es sind die Flags,
und zusätzlich defekte/defragmentierte Packete, die geblockt werden,
die werden vom Torrentclient so oder so verworfen.
Mit "Checksum invalid" hast du die Frage schon fast beantwortet.
Die Pakete stimmen nicht mit der vorgegebenen Prüfsumme überein -> defekt.
 

pht

Herzlich willkommen!
arcanoa schrieb:
Also,

- die IP 127.0.0.1 incl Netz, ist dein lokaler Host, dein PC und für ihn reserviert.
- die IP 192.168.2.2 und 192.168.2.1 sind im gleichen Netz (192.168.2.0/24), was sie sein müssen, sonst finden sie sich nicht.

Ich habe aber nur "192.168.2.0/24" im "Wizard" bestätigt, "192.168.2.2" und "192.168.2.1" sind dort nicht drin. Ist das dann nicht korrekt?

arcanoa schrieb:
- dann hat sich mein Verdacht doch halbwegs bestätigt, es sind die Flags,
und zusätzlich defekte/defragmentierte Packete, die geblockt werden,
die werden vom Torrentclient so oder so verworfen.
Gestern wurde aber der gesamte Upload Verkehr von einer anderen Regel blockiert. Die neue scheint alles durchzulassen...

arcanoa schrieb:
Mit "Checksum invalid" hast du die Frage schon fast beantwortet.
Die Pakete stimmen nicht mit der vorgegebenen Prüfsumme überein -> defekt.
Sind die Packete wirklich defekt, oder werden sie nur als solche fälschlicherweise durch eine nicht korrekte FW Einstellung erkannt? Das dort etwas mal kaputt sein kann und verworfen wird, ist für mich vorstellbar, aber wenn man sich den Traffic Monitor anguckt, müssten demnach 9/10 des Transfers defekt sein. Nur 1/10 davon könnten dann durchkommen und das ist nicht der Fall.


Ps. Hab gerade das noch gefunden:
forum.utorrent.com / uTorrent sending packets with invalid checksum
 

Franz

assimiliert
Zum Netz 192.168.2.0/24 gehören die Router- und Netzwerkkarten IP.
Die brauchen nicht explizit angegeben werden, da der CIDR /24 das komplette Netz (192.168.2.0 - 192.168.2.255) abdeckt.

Als ich es "kurz" auf "accept" umgestellt habe, wurde bei Utorrent der Upload sofort "grün":
War das ein Screenshot vor der 2. Installation? Allmählich verwirrst du mich.

Ob es wirklich an der FW liegt, daß uTorrent eine solche Rate an kaputten Paketen aufweist, bezweifele ich erst einmal.
Hast du schon einmal mit der Geschwindigkeit des Datentransfers experimentiert,
vielleicht werden die defekten Pakete bei niedrigerem Speed/Aufkommen ebenfalls weniger.
Wenn ja, liegt's eher am Torrent, und da wo auch immer.
 

pht

Herzlich willkommen!
arcanoa schrieb:
Zum Netz 192.168.2.0/24 gehören die Router- und Netzwerkkarten IP.
Die brauchen nicht explizit angegeben werden, da der CIDR /24 das komplette Netz (192.168.2.0 - 192.168.2.255) abdeckt.
Ok, jetzt ist es bei mir angekommen...


arcanoa schrieb:
War das ein Screenshot vor der 2. Installation? Allmählich verwirrst du mich.
Welcher 2. Installation? Wahrscheinlich überfliegst Du es zu schnell (Du hast mir eine Regel zum Download angeboten, die ich im Beitrag zuvor auf dem Screenshot aufgezeigt habe :(). Der Traffic Monitor sah so aus, als ich die oben beschriebene Regel kurz auf "accept" gestellt habe (die Regel aus dem Screenshot...).

arcanoa schrieb:
Ob es wirklich an der FW liegt, daß uTorrent eine solche Rate an kaputten Paketen aufweist, bezweifele ich erst einmal.
Hast du schon einmal mit der Geschwindigkeit des Datentransfers experimentiert,
vielleicht werden die defekten Pakete bei niedrigerem Speed/Aufkommen ebenfalls weniger.
Wenn ja, liegt's eher am Torrent, und da wo auch immer.
Nein sie werden nicht weniger. Sie machen immer 9/10 des Transfers aus - egal bei welcher Geschwindigkeit. Naja, ich glaube wir kommen nicht mehr weiter.

Danke & Ciao
 

mascanho

Herzlich willkommen!
pht schrieb:
2.
Das FW Symbol in der Taskleiste. Gestern blinkte es noch bei Datenverkehr,
heute egal was ich mache, bleibt es die ganze Zeit inaktiv...
icontq2.png

Gestern noch grün, rot oder grau, heute nur grau...


arcanoa schrieb:
zu 2.:
Das Problem mit dem ergrauten Icon ist bekannt. Hier soll ein Neuinstallation helfen. Ursache: KA.

Komisch....seit gestern habe ich das selbe problem.

Hab das System neu aufgesetzt und die jetico v2.0.0.35 ebenfalls neu installiert...seit dem geht die anzeige auch nicht mehr. kann doch kein software fehler sein oder?

Eine neuinstallation hab ich alerdings noch nicht durchgeführt, da mir nicht bekannt war ob ich alle regeln usw. ebenfals neu erstellen muß. Wäre mit viel arbeit verbunden. :eek:

eins würde ich noch gern wissen. Ich hatte zuvor schonmal die gesammte Regel "Optimaler Schutz" gespeichert...allerdings lassen sich diese regeln nicht mehr löschen. So hatte ich dann 2st. drin stehen. Also muß ich doch jeder eigene erstellte regel einzelt speichern, um diese später nochmal einzubinden?

oder kann ich auch das ganze Config_Dir im jetico verzeichniss wohin kopieren und es dann bei einer neuinstall wieder zurück zu kopieren?

welche der beiden möglihkeiten wäre ratsam?
 

Franz

assimiliert
oder kann ich auch das ganze Config_Dir im jetico verzeichniss wohin kopieren und es dann bei einer neuinstall wieder zurück zu kopieren?
Entweder das, oder du sicherst dir nur das entsprechende jpfconfig.xml - Dokument.
Das komplette Ruleset kann dann, nach der Neuinstallation, über Optionen -> Allgemein -> "Konfigurationsdatei" auswählen
zurückgespielt werden.
Steht auch irgendwo in der Hilfe drin.
 

Anhänge

  • snap1.jpg
    snap1.jpg
    55 KB · Aufrufe: 145

mascanho

Herzlich willkommen!
Entweder das, oder du sicherst dir nur das entsprechende jpfconfig.xml - Dokument.
Das komplette Ruleset kann dann, nach der Neuinstallation, über Optionen -> Allgemein -> "Konfigurationsdatei" auswählen
zurückgespielt werden.
Steht auch irgendwo in der Hilfe drin.
ahh, dankeschön...die möglichkeit habe ich scheinbar überlesen. Ich hab es gestern bzw. heute morgen dann doch nochmal mit der "DIR" alternative versucht und es hat wunderbar geklapt. Allerdings zeigt mir das symbol in der taskleiste immer noch nichts an :mad. Recht merkwürdige sache.

Was mich allerdings noch sehr intressieren würde, wäre, wie man in der 2.0er sowohl die "Remote Port's" als auch die "Remote Adressen" auf any stellen kann? mit der 1.0er version ging das ja.

versucht hab ich es schon mit "0.0.0.0" und ohne irgendwelche angaben. Allerdings geht zb. beim utorrent immer wieder "Datagramm senden" auf verschiedene Ports & IPs auf.
 

Anhänge

  • jetico_utorrent.jpg
    jetico_utorrent.jpg
    188 KB · Aufrufe: 160
Oben