Firewall lässt NO-IP, Selfhost etc nicht durch

Hallo liebe Leute -

bisher war ich mit der Comodo Firewall recht zufrieden - seitdem es diese neue Oberfläche gibt, finde ich gar nichts mehr. Neuerdings unterdrückt mir die Firewall den Zugriff auf meinen heimischen Server ungewünscht. Ich habe einen Account bei NO-IP - also eine dynamische DNS Adresse - und greife über das Internet auf meinen heimischen Server zu. Comodo unterbindet das ungefragt. Wenn ich die Firewall abschalte, habe ich Zugriff, ist sie an, habe ich keinen Zugriff. Auch im Trainingsmodus nicht - offenbar wird im Trainingsmodus nichts trainiert - es wird ungefragt unterdrückt. Wie kann ich Comodo dazu bewegen, dass ich Zugriff auf meinen Server bekomme, ohne dass ich die Firewall immer ganz ausschalten muss? Ich bin ernsthaft am Überlegen, ob ich nicht die Firewall wechseln sollte. Diese seltsame Oberfläche erscheint mir doch recht unübersichtlich.

Für sachdienliche Hinweise wäre ich dankbar.

LG

Hagenbuch

Hallo Hagenbuch, dass die Oberfläche der Version 6 sehr “gewöhnungsbedürftig” ist, um nicht benutzerunfreundlich zu sagen, wurde in diesem Forum ja schon ausgiebig besprochen (Fazit von zwei Wochen CIS6: Von Hui zu Pfui - Hier findest Du auch ein paar Tipps von mir, wie die Version 6 komfortabler bedient werden kann!)
Falls Du eine kostenlose gut funktionierende, gleichwertige Firewall kennst, die “benutzerfreundlicher” ist, bitte ich Dich mir das mitzuteilen, bin ich sehr interessiert!
Nun zu Deinem Problem:
Aktiviere bei allen Blockaden in “Regeln für Anwendungen” und in den “Globalen Regeln” das Protokoll.
Dann solltest Du in der Protokoll-Übersicht eigentlich den Übeltäter erkennen.
In aller Regel sollte es eine globale Blockade oder eine Blockade von “System” z.b UDP 138/139 sein.

offenbar wird im Trainingsmodus nichts trainiert
Regeln die schon vorhanden sind werden nicht "trainiert", das wäre auch fatal! D.h. wenn Du die Regel die dafür verantwortlich ist, nicht findest, mußt Du alle Regeln löschen und in den Trainingsmodus gehen, dann sollte der auch funktionieren. Sonst hilft nur die Neuinstallation. Ich kann mich entsinnen, dass das bei mir, mit der 5er Version einmal notwendig war. Ich hatte alle Regeln gelöscht, trotzdem wurde irgendwas noch blockiert?! Vorher nicht vergessen die alte Konfiguration zu sichern, dass Du im Notfall wieder darauf zurückgreifen kannst... :) Ich hoffe Dir ein wenig geholfen zu haben, mfG icke

Hallo Icke,

vielen Dank für Deine Unterstützung. Da ist was dran, dass es schwierig ist, eine gleichwertige Firewall zu bekommen im Freeware Bereich. Ich benutze Comodo ja auch nicht deswegen seit Jahren, weil ich Comodo schlecht fände. Teilweise habe ich etwas ältere Rechner im Einsatz - bei den meisten Firewalls geht da die Performance total in die Knie - bei Comodo geht es noch.

Den Hui bis Pfui Thread hatte ich noch gar nicht gelesen - aber offenbar stehe ich mit meiner Orientierungslosigkeit nicht alleine da. Dass man unter Aufgaben suchen zu diesen Menüs kommt - naja. Jedenfalls habe ich dank Deiner Hinweise den “Übeltäter” erwischt. Zwar nicht über Protokolle - aber über die Standardeinstellungen in den einschlägigen Abteilungen. Und dann Try & Error. Alles, was standardmäßig nicht erlaubt war mal erlaubt - bis meine NO-IP Adresse auf den heimischen Rechner zugreifen durfte. Etwas mühselig - aber jetzt geht es. Zwischenzeitlich hatte ich es noch mit Eset Smart Security probiert. da gab es das gleiche Phänomen - NO-IP wurde auch nicht durchgelassen und die Stelle, wo das zu ändern wäre, war ebenso schwer zu finden wie bei Comodo. Also werde ich bis auf weiteres bei Comodo bleiben. Vielleicht kriegen die ja auch mal wieder eine etwas weniger verkramte Oberfläche hin.

Dir jedenfalls vielen Dank.

LG

Hagenbuch

Hallo Hagenbuch, danke für dein Feedback, freue mich dass Du so den Fehler beseitigen konntest!
Gruß icke

Hallo liebe Leute,

für den Fall, dass es jemanden interessiert.

Es war ein Loopback Problem. Da ist standardmäßig der Zugriff unterbunden. In der Abteilung erweiterte Einstellungen → Firewall Einstellungen ist bei <Loopback - Verkehr filtern> ein Häkchen geseztzt. Nimmt man es raus, kann man mit einer NO-IP Adresse zugreifen. Ob das allerdings schon der Weisheit letzter Schluss ist, kann ich nicht garantieren. Comodo wird sich etwas dabei gedacht haben, diesen Verkehr zu unterbinden und vielleicht wird es günstiger sein, eine eigene Ausnahmeregel dafür zu machen - womöglich öffnet man ansonsten auch anderen alle Türen, die man eigentlich nur für sich öffnen wollte. Zumindest ist dadurch aber das Thema soweit eingkreist, dass man weiß, woran man schrauben muss.

Mir ist offen gesagt die Systematik noch nicht klar - wenn ich Loopback richtig verstehe, geht es darum, dass Sender und Empfänger identisch sind - das ist dann der Fall, wenn ich mit Server und Laptop hinter dem Router sitze - dann haben beide die gleiche externe IP und ich soll lt. Comodo nicht mit NO-IP zugreifen dürfen. Wenn ich “irgendwo” bin, Hauptsache andere IP, habe ich dieses Problem nicht. Dann darf ich mit NO-IP zugreifen.

Welche Gefahr sieht Comodo (und andere Firewalls) darin? Warum darf ich mit NO-IP zugreifen, wenn ich jenseits des Routers bin - und wenn ich diesseits des Routers bin nicht? Wenn ich diesseits des Routers bin darf ich aber lokal zugreifen - also über 127.0.0.1 oder localhost geht es. Die Problematik taucht regelmäßig auf, wenn ich einen Server aufsetze und testen möchte, ob er über eine dynamische Webadresse erreichbar ist. Oder wenn ich eben mit Server und Laptop manchmal hinter dem gleichen Router sitze - manchmal aber auch nicht - und meinen Serveraufruf nicht danach ausrichten möchte, ob ich nun vor oder hinter dem Router sitze sondern immer mit dem gleichen Aufruf tätig sein möchte.

So ist das - jede gelöste Frage ruft mindestens zwei neue Fragen hervor - und so leben wir in einer Welt des wachsenden Unwissens. ???

LG aus HH

hagenbuch

Hallo hagenbuch, ich bin in Sachen Netzwerktechnik auch nicht so fit, aber würde folgendes versuchen:
Auf jeden Fall den Filter aktiviert lassen, sonst ist es meiner Meinung nach wirklich so, dass theoretisch jedes von HIPS erlaubte Programm über 127.0.0.1 unkontrolliert nach außen kommunizieren kann. D.h. was die Loopback-Adresse betrifft, ist es so, als wenn Du die Firewall ausschaltest.
Comodo blockt ja nicht die Anfrage automatisch bei aktiviertem Filter, sondern filtert nur.
Die Blockade ist wiederum in Deinen gesetzen Filtern zu suchen:
Beispiel - Richtlinie Browser (Ich bekomme das Original jetzt nicht mehr genau hin):
-Zulassen UDP Aus von MAC Beliebig nach [Router ] falls der Quellport Beliebig und der Zielport 53 ist
-Zulassen TCP Aus von MAC Beliebig nach MAC Beliebig falls der Quellport Beliebig und der Zielport 443 ist
-Zulassen TCP Aus von MAC Beliebig nach MAC Beliebig falls der Quellport Beliebig und der Zielport 80 ist
-Blockieren TCP oder UDP Ein/Aus von MAC Beliebig nach MAC Beliebig falls der Quellport Beliebig und der Zielport Beliebig ist
Letzte Regel blockt natürlich alle Loopback Ports außer die zuvor erlaubten.
also sollte noch folgende Regel hinzugefügt werden:
Zulassen und protokollieren TCP Aus von MAC Beliebig nach [Loopback-Netzwerk] falls der Quellport Beliebig und der Zielport [No-IP] ist
Die Portgruppe “No-IP” solltest Du festlegen, alternativ geht natürlich “Zielport Beliebig” dann wären alle Ports freigegeben
Auch wenn es Dir zu umständlich erschien, Du solltest Dich mit der Auswertung der Protokolle intensiver beschäftigen, so kannst Du auch ohne umfangreiches Hintergrundwissen, nur durch logische Schlüsse, Deine
Regeln korrigieren… :wink:
Gruß icke

Hallo Icke,

Zielport beliebig wäre im Ergebnus wohl das Gleiche wie Loopback Filter ausschalten - aber die andere Regel scheint zu passen.

Zulassen TCP Aus von Mac beliebig nach [Loopback IP] falls der Quellport [Port] und der Zielport [Port] ist

Ob der Quellport tatsächlich ausgewertet wird weiß ich nicht. Aber so kann ich generell Loopback unterbunden lassen und trotzdem zugreifen.

Verstehen tue ich es deswegen trotzdem noch nicht richtig. Was ist gegen Loopback einzuwenden? Welchen Schaden macht das? Mir ist das Bedrohungspotenzial nicht klar. Die Windows Firewall unterbindet das nicht und ich hatte vor kurzem noch eine andere FW - ich glaube von Avast - ausprobiert (schon wieder vergessen, weil das Experiment nach 2 Tagen mit Datenverlust abgebrochen werden musste), die das auch nicht unterbunden hat. Da sind sich die Experten offenbar nicht so ganz einig ob das ein großes Risiko ist oder nicht. Mir ist auch nicht klar, ob es einen großen Unterschied macht, ob ich einen oder alle Ports freigebe. Wenn tatsächlich ein böswilliger Angriff kommt, werden die Ports gescannt und ein offener Port reicht dem Hacker im Prinzip.

Wie auch immer - mit so einer Regel wie oben erwähnt funktioniert es - und hagenbuch hat etwas dazugelernt, alleine dafür hat es sich schon gelohnt in dieses Forum einzutreten.

Ich bedanke mich bei allen Beteiligten. Und ich widerrufe und stelle fest - Firewall lässt NO-IP, DynDNS, Selfhost etc. doch durch. Kaum macht man es richtig - schon funktioniert es. ;D

Aus meiner Sicht könnte dieser Thread damit geschlossen werden.

LG

Hagenbuch

Nachtrag.

Comodo blockt ja nicht die Anfrage automatisch bei aktiviertem Filter, sondern filtert nur. ```


Mir scheint, dass Comodo genau das tut - Filter aus - Zugriff klappt - Filter an - Zugriff klappt nicht. Bzw.nur dann, wenn ich eine entsprechende Regel schreibe. Standardmäßig wird von diesem Filter alles dichtgemacht, was nicht ausdrücklich geöffnet wird. 

Das war früher einer der wichtigen Unterschiede zwischen Windows und Unix - bei Windows war alles offen, was man nicht zugemacht hat - bei Unix war alles zu, was man nicht geöffnet hat. Unterschiedliche Ansätze.

Grundsätzlich ist es ja so, dass kommuniziert werden soll - dazu braucht es offene Ports - und es ist ein Jammer, dass es so viele Armleuchter gibt, die Freude daran haben, anderen etwas kaputt zu machen oder damit irgendwie schäbige Geschäfte machen können. Und ein Restrisiko wird es sicher immer geben, solange man in irgendeinem Netz kommunizieren will - wenn man ganz sicher sein will, darf man eben an keinem Netz beteiligt sein. 

Also lebe ich mit dem Risiko - und wenn ich den Hacker erwische, der mir mein System zerschießt, gibts ein paar Maulschellen und das System wird neu aufgesetzt. Muss man unter Windows ja ohnehin alle paar Monate machen wenn man experimentierfreudig ist. Die Selbstvermüllung ist ja nach wie vor ein ungelöstes Problem.

LG

Hagenbuch
Zielport beliebig wäre im Ergebnus wohl das Gleiche wie Loopback Filter ausschalten - aber die andere Regel scheint zu passen.
Nein, Loopback ausschalten gilt für alle Anwendungen, erstellte "Regel für Anwendung" nur für die eine Anwendung!
Verstehen tue ich es deswegen trotzdem noch nicht richtig. Was ist gegen Loopback einzuwenden? Welchen Schaden macht das? Mir ist das Bedrohungspotenzial nicht klar.
Ich nutze die Comodo-Firewall hauptsächlich um den ausgehende Netzwerkverbindungen zu kontrollieren. Bei einer Loopbackverbindung werden Daten an ein Programm-XYZ intern übertragen, welchen ich vertraue und das auch für bestimmte Internetverbindungen freigegeben wurde. So gelangen also z.b. Daten von 10 Programmen über die Loppbackverbindung zu Prg-XYZ und von dort ins Internet. Die 10 Programme kontrolliere ich einzeln mittels der oben erwähnten Regel. Würde ich Loopback deaktivieren könnte jedes beliebige Programm über Prg-XYZ Verbindung zum Internet aufnehmen. Das will ich nicht.
Mir ist auch nicht klar, ob es einen großen Unterschied macht, ob ich einen oder alle Ports freigebe
Wenn Du die Funktion des jeweiligen Ports nicht kennst, macht es kaum einen Sinn. Trotzdem erlaube ich immer so wenig wie möglich, so daß nicht alle sicheren Programme alle möglichen Internetverbindungen herstellen können.
Wenn tatsächlich ein böswilliger Angriff kommt, werden die Ports gescannt und ein offener Port reicht dem Hacker im Prinzip.
In diesem Fall geht es um eingehende Verbindungen, da vertraue ich meinem Router. Eingehende Verbindungen über die Softwarefirewall lasse ich nur innerhalb meines Netzwerkes zu (z.b. UDP Port. 139). Gruß icke
Mir scheint, dass Comodo genau das tut - Filter aus - Zugriff klappt - Filter an - Zugriff klappt nicht. Bzw.nur dann, wenn ich eine entsprechende Regel schreibe. Standardmäßig wird von diesem Filter alles dichtgemacht, was nicht ausdrücklich geöffnet wird.
... 88) dann lösche doch bitte mal die letzte Regel: [b]Blockieren TCP oder UDP Ein/Aus von MAC Beliebig nach MAC Beliebig falls der Quellport Beliebig und der Zielport Beliebig ist[/b] Dann müßtest Du bei aktiviertem Filter über eine Meldungsbox gefragt werden, so dass also nicht automatisch geblockt wird!? icke

Hallo Icke,


"Zulassen TCP Aus von Mac beliebig nach [Loopback IP] falls der Quellport [Port] und der Zielport [Port] ist" 


ist eine globale Regel und hat mit einer einzelnen Anwendung nichts zu tun. Ich habe keine Anwendungsregel geschrieben. Es ist eine Portfreigabe - sonst nichts. Über den Port darf ich jetzt raus und von aussen auf die eigentlich lokale Loopback IP zugreifen - mit welcher Anwendung und welchem Protokoll auch immer. An der Loopback IP muss an irgendwelchen Ports gelauscht werden - sonst nützt mir der freigegbene Port nichts. In meinem Fall lauscht u.a. ein Mediaserver - der braucht Port 80, weil über das http Protokoll darauf zugegriffen wird und einen weiteren Port, den ich beliebig wählen kann, ich vermute, dass darüber die Daten transportiert werden. Da wird gestreamt. Diesen zweiten Port habe ich in obiger Regel freigegeben. Es lauscht aber auch ein FTP Server - da braucht es keinen weiteren Port, das geht ohne Zusatzregel. Da reicht das Forwarding im Router.

Die Regel



"Blockieren TCP oder UDP Ein/Aus von MAC Beliebig nach MAC Beliebig falls der Quellport Beliebig und der Zielport Beliebig ist"


stand bei mir vorher gar nicht da. Der Loopback Filter war gesetzt und die Regel gab es noch nicht. Aber eine Meldungsbox gab es auch nicht - es wurde sehr wohl automatisch geblockt. ich gebe auch so wenig wie möglich frei - aber ich weiß nicht von allen Anwendungen über welche Ports sie nach Hause telefonieren wollen - und ob sie sich einen Ersatzport suchen, wenn ihr bevorzugter Port gesperrt ist. Aber was unterscheidet den Port 33.600 vom Port 45.000? Ist es besser den einen freizugeben als den anderen? Da bin ich überfragt. Oder umgekehrt gefragt - falls über Port 33.600 Schaden angerichtet werden kann - woher weiß ich, ob der gleiche Schaden über Port 45.000 nicht angerichtet werden kann? Wenn es egal ist - also wenn über jeden Port der gleiche Schaden angerichtet werden kann, ist es letztlich egal ob ich einen Port frei gebe oder mehrere oder alle. Ich stelle es mir wie bei einem Haus vor. Wenn ich eine Tür offen lasse ist es egal ob ich die anderen Türen verschließe oder nicht. Jedenfalls wenn ich einen Ein- oder einen Ausbrecher habe, der alle Türen abklappert.

Das sind jetzt aber alles nur noch Verständnis - oder besser Unverständnisfragen. Ich habe eine Lösung für mein Problem die funktioniert. Und ob es Folgeprobleme gibt werde ich ja sehen.

Ich werde Dich und das Forum auf dem Laufenden halten. Und nochmal Dank für die Aufmerksamkeit.

LG

Hagenbuch

Hallo

[b]Zulassen TCP Aus von Mac beliebig nach [Loopback IP] falls der Quellport [Port] und der Zielport [Port] ist ist eine globale Regel und hat mit einer einzelnen Anwendung nichts zu tun.
Zugegeben, jetzt bin ich am Ende meiner Weisheit. Ich habe das jetzt mit allen möglichen Konfigurationseinstellungen bei mir getestet und bekomme es nicht hin. Eine globale Permit-Regel bewirkt bei mir absolut nichts, Blocks in den globalen Regeln sehr wohl! Das hatte ich aber schon mehrmals in diesem Forum gepostet und keiner konnte mir den Grund nennen. Defaultmäßig sind ja Permitregeln für das Homenetzwerk vorhanden, die ich bei mir gelöscht habe, da sie wie schon erwähnt, Null Einfluss auf den Zugriff haben?! D.h. ich muß in den "Regeln für Anwendungen" die Freigabe haben, sonst funktioniert es nicht. Es muss also irgendeine Einstellung in Comodo sein, die diesen Unterschied in unseren beiden Systemen ausmacht?! Aus diesem Grund bin ich gar nicht auf die Idee gekommen, dass es sich um eine globale Regel bei Dir handelt..., sorry?!
Wenn es egal ist - also wenn über jeden Port der gleiche Schaden angerichtet werden kann, ist es letztlich egal ob ich einen Port frei gebe oder mehrere oder alle
Du hast ja allgemein gesehen nicht ganz unrecht, aber um bei Deinem Beispiel zu bleiben: Wir sind uns doch einig darüber, dass egal welches Schloss Du an Deiner Tür hast, Deine Wohnung nicht sicher ist. Jetzt wäre mit der gleichen Logik weiter gedacht, es doch eigentlich egal ob Du die Tür abschließt oder nicht ??? Jedenfalls denke ich so und versuche einfach mit den mir zur Verfügung stehenden Möglichkeiten den PC zu sichern. Natürlich macht es mir auch Spaß , sonst würde ich in diesem Forum nicht versuchen zu helfen, sondern nur Fragen stellen... Gruß icke