This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Firewall blockt ausgehende netbios TCP Pakete

Ich möchte mich mit dem Fileserver meiner Firma verbinden.
Dazu verbinde ich mich mit dem Firmennetzwerk per VPN und öffne dann den samba-Server als Netzlaufwerk.

Wenn ich aber versuche, auf unseren Samba-Server zuzugreifen, sagt Windows der Pfad wurde nicht gefunden.

Im Firewall log fand ich folgenden Eintrag:

13:25:35 netbios AUS ABGELEHNT TCP xxx.xxx.xxx.xxx 445 NetBIOS-Verkehr zulassen

Als Standartregel sind alle ausgehenden Verbindeungen zugelassen und der Firewall log sagt ja sogar selbst er sollte Netbios-Verkehr eigentlich zulassen.

Warum wird er dann abgelehnt und wie kann ich das ändern?

This thread was automatically locked due to age.

0 QC over 8 years ago

Hallo Jerome Pönisch,

etwas sonderbar. Ist das SCF 3.x (also Windows 8 oder höher)? Was sagt das Firewall System Log, welcher Standort ist aktiv?

Hm, es könnte sein, dass die Regel im Logeintrag falsch übersetzt ist. Hab gerade keine SCF zum Testen "bei der Hand". Wäre vielleicht hilfreich, das Log in der englischen Version anzuschauen. Geht recht einfach: In der Windows Systemsteuerung die Sprache auf eine der englischen setzen, dann das Sophos GUI und das Firewall Log öffnen - sollte nun im "Original" sein.

Christian
Cancel
Vote Up 0 Vote Down

Cancel
0 Jerome Pönisch over 8 years ago in reply to QC

Hi Christian,

meine SCF Version ist 3.0.4 (Windows 10)
Der Eintrag ist aus dem Firewall Log .. oder ist der Firewall Szstem Log nochmal was anderes?

Habe die Windows Sprache jetzt auf englisch gestellt ... aber die Sophos GUI ist nachwievor auf Deutsch ... dafuer die Tastatur jetzt englisch :P

Starte jetzt mal neu und schau dann nochmal. (Bisher nur ab- und wieder angemeldet)
Cancel
Vote Up 0 Vote Down

Cancel
0 Jerome Pönisch over 8 years ago in reply to QC

Also auch nach Neustart bleibt leider nur die Windows Oberfläche englisch aber die Sophos GUI weiterhin auf deutsch...

Links steht bei Firewall
"Verbundener Standort: Primär"

In der Firewall Konfiguration habe ich
Allgemein

"Ausgehenden Datenfluss ohne passende Regel standartmäßig zulassen"

Bei ICMP

Netzwerkfehler-Report: "Gängige für den Client erforderliche Fehler zulassen"

Beheben von Netzwerkrpoblemen: "In beiden Richtungen zulassen"

IPv4-Netzwerkadressen und Routingkonfig: "Automatische Konfiguration für Clients zulassen"

LAN

10.8.0.0 (bekomme ich vom VPN Server im Office)   [x] netBios   [ ] Vertrauenswürdig
192.168.0.0 (von meinem Router hier daheim)        [x] netBios   [x] Vertrauenswürdig

(muss ich hier evtl bei 10.8.0.0 auch Vetrauenswürdig sagen?)

Globale Regeln

[x] Looback tCP zulassen
[x] GRE-Protokoll zulassen
[x] PPTP-Control-Verbindung zulassen
[x] Loopback UDP zulassen
[x] RPC (TCP) sperren
[x] RPC (UDP) sperren

(diese waren schon da .. ich habe noch eine Regel hinzugefügt um netbios nochmal expliziet zu erlauben .. hat aber auch nichts geändert)
[x] netbios zulassen: Zulassen, Protokoll ist TCP, und Richtung ist Ausgehend und der lokale Port ist MICROSOFT_DS

und letztlich Anwendungen

hier habe ich auch als Versuch noch extra netbios.dll als Vertrauenwürdig eingefügt.

Im Firewall log sehe ich aber übrigens auch eine weitere Art von AUS ABGELEHNT:

11:47:49   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus

hat das damit etwas zu tun?
Cancel
Vote Up 0 Vote Down

Cancel
0 Jerome Pönisch over 8 years ago in reply to QC

Hier kommt nochmal der Log (wie gesagt leider nachwievor auf Deutsch) ich drehe die Reihenfloge

Der geblockte Ping geht immer an den Router 192.168.0.1

12:08:15   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus

Hier verbinde ich mich per VPN mit dem Netzwerk der LMU-München (LRZ)
die 141.84.12.255 ist die Broadcast addresse vom LRZ
12:08:22   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:22   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:23   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:25   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:25   system   AUS ABGELEHNT    ICMP   10.156.33.53   771   Stealth-Modus
12:08:26   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:27   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
12:08:28   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:29   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:30   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:31   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:32   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:32   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:32   netbios   AUS ABGELEHNT    UDP   141.84.12.255   138   NetBIOS-Verkehr zulassen
12:08:35   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus

Hier trenne ich die VPN zur LMU und starte die VPN verbindung zu unserem Office
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:55   svchost.exe   EIN ABGELEHNT    UDP   0.0.0.0   68   Alle Aktivitäten sperren
12:08:56   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
12:09:01   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
12:09:15   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus

Hier verusche ich über die VPN Verbindung auf unseren FileServer zuzugreifen
12:09:35   netbios   AUS ABGELEHNT    TCP   192.168.111.5   139   NetBIOS-Verkehr zulassen
12:09:35   netbios   AUS ABGELEHNT    TCP   192.168.111.5   445   NetBIOS-Verkehr zulassen
12:09:35   netbios   AUS ABGELEHNT    TCP   192.168.111.5   139   NetBIOS-Verkehr zulassen
12:09:35   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:09:35   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:09:36   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:09:36   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:09:38   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:09:38   netbios   AUS ABGELEHNT    UDP   192.168.111.5   137   NetBIOS-Verkehr zulassen
12:10:15   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
12:10:28   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
12:10:31   system   AUS ABGELEHNT    ICMP   192.168.0.1   771   Stealth-Modus
Cancel
Vote Up 0 Vote Down

Cancel
0 QC over 8 years ago in reply to Jerome Pönisch

Hallo Jerome,

der Reihe nach:
Die GUI-Sprache wird über Systemsteuerung → Region und Spreche → Tab Formate eingestellt (nicht über Tastaturen und Sprachen). Das wäre nicht unwichtig da ich glaube, dass die Regel bei den ABGELEHNTen Verbindungen nicht NetBIOS Verkehr zulassen ist.

Was genau ist im LAN-Tab eingetragen? xxx.xxx.0.0 ist ja nicht automatisch ein /16 Subnetz (also xxx.xxx.*.* bzw. Netmask 255.255.0.0)

NetBIOS ausgehend: Nicht der lokale sondern der remote Port ist MICROSOFT_DS

Die ICMP 771 Meldungen sind eine Antwort auf einen Verbindungsversuch von außen und bedeuten Port nicht erreichbar (nicht offen). Die werden normalerweise von der Firewall unterdrückt.

Christian
Cancel
Vote Up 0 Vote Down

Cancel