Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 7780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Firewall blockt ausgehende netbios TCP Pakete

Jerome Pönisch

Ich möchte mich mit dem Fileserver meiner Firma verbinden.
Dazu verbinde ich mich mit dem Firmennetzwerk per VPN und öffne dann den samba-Server als Netzlaufwerk.

Wenn ich aber versuche, auf unseren Samba-Server zuzugreifen, sagt Windows der Pfad wurde nicht gefunden.

Im Firewall log fand ich folgenden Eintrag:

13:25:35    netbios    AUS ABGELEHNT     TCP    xxx.xxx.xxx.xxx   445    NetBIOS-Verkehr zulassen

Als Standartregel sind alle ausgehenden Verbindeungen zugelassen und der Firewall log sagt ja sogar selbst er sollte Netbios-Verkehr eigentlich zulassen.

Warum wird er dann abgelehnt und wie kann ich das ändern?



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Jerome Pönisch,

    etwas sonderbar. Ist das SCF 3.x (also Windows 8 oder höher)? Was sagt das Firewall System Log, welcher Standort ist aktiv?

    Hm, es könnte sein, dass die Regel im Logeintrag falsch übersetzt ist. Hab gerade keine SCF zum Testen "bei der Hand". Wäre vielleicht hilfreich, das Log in der englischen Version anzuschauen. Geht recht einfach: In der Windows Systemsteuerung die Sprache auf eine der englischen setzen, dann das Sophos GUI und das Firewall Log öffnen - sollte nun im "Original" sein.

    Christian 

  • 0 in reply to QC

    Hier kommt nochmal der Log (wie gesagt leider nachwievor auf Deutsch) ich drehe die Reihenfloge

    Der geblockte Ping geht immer an den Router 192.168.0.1

    12:08:15    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus

    Hier verbinde ich mich per VPN mit dem Netzwerk der LMU-München (LRZ)
    die 141.84.12.255 ist die Broadcast addresse vom LRZ
    12:08:22    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:22    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:23    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:25    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:25    system    AUS ABGELEHNT     ICMP    10.156.33.53    771    Stealth-Modus
    12:08:26    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:27    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus
    12:08:28    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:29    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:30    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:31    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:32    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:32    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:32    netbios    AUS ABGELEHNT     UDP    141.84.12.255    138    NetBIOS-Verkehr zulassen
    12:08:35    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus

    Hier trenne ich die VPN zur LMU und starte die VPN verbindung zu unserem Office
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:55    svchost.exe    EIN ABGELEHNT     UDP    0.0.0.0    68    Alle Aktivitäten sperren
    12:08:56    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus
    12:09:01    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus
    12:09:15    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus

    Hier verusche ich über die VPN Verbindung auf unseren FileServer zuzugreifen
    12:09:35    netbios    AUS ABGELEHNT     TCP    192.168.111.5    139    NetBIOS-Verkehr zulassen
    12:09:35    netbios    AUS ABGELEHNT     TCP    192.168.111.5    445    NetBIOS-Verkehr zulassen
    12:09:35    netbios    AUS ABGELEHNT     TCP    192.168.111.5    139    NetBIOS-Verkehr zulassen
    12:09:35    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:09:35    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:09:36    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:09:36    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:09:38    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:09:38    netbios    AUS ABGELEHNT     UDP    192.168.111.5    137    NetBIOS-Verkehr zulassen
    12:10:15    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus
    12:10:28    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus
    12:10:31    system    AUS ABGELEHNT     ICMP    192.168.0.1    771    Stealth-Modus

  • 0 in reply to Jerome Pönisch

    Hallo Jerome,

    der Reihe nach:
    Die GUI-Sprache wird über Systemsteuerung Region und Spreche → Tab Formate eingestellt (nicht über Tastaturen und Sprachen). Das wäre nicht unwichtig da ich glaube, dass die Regel bei den ABGELEHNTen Verbindungen nicht NetBIOS Verkehr zulassen ist.

    Was genau ist im LAN-Tab eingetragen? xxx.xxx.0.0 ist ja nicht automatisch ein /16 Subnetz (also xxx.xxx.*.* bzw. Netmask 255.255.0.0)

    NetBIOS ausgehend: Nicht der lokale sondern der remote Port ist MICROSOFT_DS

    Die ICMP 771 Meldungen sind eine Antwort auf einen Verbindungsversuch von außen und bedeuten Port nicht erreichbar (nicht offen). Die werden normalerweise von der Firewall unterdrückt.

    Christian

Reply
  • 0 in reply to Jerome Pönisch

    Hallo Jerome,

    der Reihe nach:
    Die GUI-Sprache wird über Systemsteuerung Region und Spreche → Tab Formate eingestellt (nicht über Tastaturen und Sprachen). Das wäre nicht unwichtig da ich glaube, dass die Regel bei den ABGELEHNTen Verbindungen nicht NetBIOS Verkehr zulassen ist.

    Was genau ist im LAN-Tab eingetragen? xxx.xxx.0.0 ist ja nicht automatisch ein /16 Subnetz (also xxx.xxx.*.* bzw. Netmask 255.255.0.0)

    NetBIOS ausgehend: Nicht der lokale sondern der remote Port ist MICROSOFT_DS

    Die ICMP 771 Meldungen sind eine Antwort auf einen Verbindungsversuch von außen und bedeuten Port nicht erreichbar (nicht offen). Die werden normalerweise von der Firewall unterdrückt.

    Christian

Children
No Data
Unfiltered HTML