VMware-Forum

Hi Volk.
Es wurd schon viel darum geschrieben, wie Probleme mit einer Personalfirewall anzugehen sind. Hier ist ein Problem, das, denke ich, ruhig neu aufgebacken werden darf.

Host: win xp pro sp1a
gast: win 2k pro sp4

Die Netzwerkart des Gasts ist 'bridged' , hat also eine eigene IP im selben Nummernkreis des Hosts. Wichtig : Auf dem Host läuft eine Personalfirewall : Kerio 4.1.2 , aber der Gast hat keine.
Ein Ping vom Host an Gast : ok
Ein Ping vom Gast an Host : ok

Ein Ping vom Gast ins Internet (zb: ping www.heise.de) funktioniert.
Aber der Browser (firefox) kann keine Internetseite laden , es sei denn, ich schalte die Kerio-PF im Host ab.

Da die Kerio-PF im Lernmodus ist, sollten unbekannte Prozesse, die ins Internet wollen, erst das OK des Users bekommen. Hier rührt sich aber garnichts. Zum Einstellen an der Kerio-PF habe ich zunächst nichs gefunden.
Meine Frage ist :
Welche Packete werden denn da blockiert? Oder besser :
Welche (Art) Packete müssen denn durchgelassen werden ?

Da ich aber kein Profi bin, macht es mir mit euren Antworten bitte nicht zu schwer.
Als Hilfe vorraus:
Unter Netzwerksicherheit - Vordefiniert (Kerio-PF) steht, das ICMP packets aus dem Bereich'Vertraut' und 'Internet' abgelehnt werden.

sk

1. internes Netzwerk am besten freigeben bei der Firewall

2. werden oftmals die DNS-Queries geblockt. Normalerweise kannst du in der Log einsehen, welche Daten genau geblockt wurden.



Deine Firewall meldet sich nicht, weil der Prozess ja aus dem Netzwerk kommt und bei dir in der svchost.exe steckt. Da kommt nicht extra eine Abfrage, sondern da muss man etwas genauer nachprüfen.

Einfachster Test:
Erlaube ausgehende Verbindungen auf Port 53, 80 und 443 bei deiner Firewall. Dann sollte das Browsen funzen.

Hi selbstkontrolle,

bei Kerio musst du in dem Bereich Netzwerksicherheit - Erweitert den Gateway Modus aktivieren. Dann funzt alles.

Hintergund:
Kerio ist keine reine Application Firewall. Sie klinkt sich in dem OSI Modell schon früher ein. Der Netzwerkadapter in dem sich VMware einklinkt liegt bereits hinter der Firewall. Damit arbeitet deine Netzwerkkarte als Gateway (als ob du mit einem Rechner über einen anderen Rechner in I-Net gehst).
Standardmässig blockt das Kerio. Wenn der Gateway Modus aktiviert ist , überprüft Kerio aber nicht mehr die Pakete an deinen Guest. Du solltest dort ebenfalls eine Firewall installieren.


Gruß
Snopy

Danke @ StuffMasterz und Snopy.

Der Punkt mit dem Gatewaymodus der Kerio-Firewall hat ins schwarze getroffen. Jetzt funzt es.

Trotzdem bleibt aber noch ne Frage übrig:

Warum werden DNS-Anfragen beim Ping durchgelassen, genauso wie die Antwort des DNS und die Antwortpakete?

zb:

...aus dem Gast, ergibt ohne dem Gateway-Modus der Kerio im Host:



...also eine ordentliche Antwort. Wenn ich es richtig verstanden habe, ist aber ein Ping ja eine ICMP-Paket.
Wieso also werden diese von der Firewall durchgelassen, obwohl im Host (wie schon eingangs erwähnt) folgendes eingestellt ist :

Unter Netzwerksicherheit - Vordefiniert (Kerio-PF) steht, das ICMP packets aus dem Bereich'Vertraut' und 'Internet' abgelehnt werden.

sk

Hi selbstkontrolle

Es gibt mehere Arten von ICMP Paketen. Ping ist nur einer davon. In dem Bereich Vordefiniert ist DNS und Ping out standard mäßig erlaubt. Damit wäre zu erklären, warum ein Ping geht.

Snopy