Wireshark und Windows Firewall

5021
Mark Henderson

Wenn ich einen Port in der Windows-Firewall blockiere und dann eine Verbindung zu diesem Port von einem anderen PC aus herstellen möchte, was sollte ich in Wireshark erwarten?

Wenn wireshark am laufenden Zielmaschine ( ‚Server‘ in Ermangelung eines besseren Begriffs), soll ich sehen:

  1. Keine eingehenden oder ausgehenden Verbindungen (wie ich es von einer Hardware-Firewall erwarten würde)
  2. Ein eingehender Verbindungsversuch, aber kein Ausgang

Im Moment sehe ich Nr. 2 - Ich kann den eingehenden Verbindungsversuch sehen, aber ich sehe niemals eine Antwort von der Maschine.

Sollte dies das erwartete Verhalten sein?

4

3 Antworten auf die Frage

1
tcv

Das würde ich denken. Die Firewall ist eine Software innerhalb des Betriebssystems. Das Paket muss immer noch in die Maschine gelangen und durch den Netzwerkstapel blasen, bis es die Firewall erreicht. Zu diesem Zeitpunkt wird es akzeptiert und bestanden oder abgelehnt und blockiert. Ich würde dieses Verhalten erwarten.

Wenn die Firewall zwischen dem Internet und Ihrem Computer vorhanden wäre, würden Sie in Wireshark nichts sehen, wenn diese externe Firewall die Pakete blockiert.

Das habe ich geahnt. Ich habe mich bisher noch nie wirklich auf die Windows-Firewall verlassen, normalerweise verwende ich eine Hardware-Firewall Mark Henderson vor 14 Jahren 0
1
joeqwerty

Wo läuft Wireshark, auf dem Zielcomputer oder auf dem Quellcomputer? Wenn sie auf dem Quellcomputer ausgeführt wird, würde ich erwarten, dass das Verhalten in # 2 auftritt. Sie sollten die ausgehende Verbindung vom Quellcomputer in Wireshark sehen, aber keinen Rückfluss. Ich bin neugierig, sendet die Windows-Firewall ein RST, wenn eingehende Verbindungen blockiert werden, oder bricht die Verbindung stumm ab?

Wenn ich darüber nachdenke, könnte ich davon ausgehen, dass auf dem Zielcomputer auch ein Verhalten wie in # 2 zu sehen ist, da die eingehende Verbindung initiiert werden muss, bevor die Windows-Firewall ihre Aufgabe erfüllen kann. Es kann keine Verbindung blockieren, die noch keine Verbindung zum Zielcomputer und bis zu Schicht 3 hergestellt hat.

Wie es aussieht, wird die Verbindung lautlos unterbrochen, da absolut kein Datenverkehr zurück zur Quell-IP erfolgt, nicht einmal eine Ablehnungsbenachrichtigung. Mark Henderson vor 14 Jahren 0
Dies ist aufgrund meiner Annahme in meinem zweiten Absatz sinnvoll. Wireshark arbeitet von Layer 2 und höher, während ich vermute, dass die Windows-Firewall auf Layer 3 oder höher arbeitet (wahrscheinlich können Sie daher nur Regeln erstellen, die auf Layer 3 und höher und nicht auf Layer 2 funktionieren). Wireshark sieht also die Verbindung auf Layer 2 und 3, bevor die Windows-Firewall aktiv wird. Sobald die Windows-Firewall die Verbindung ausführt, bricht sie ab (ich weiß nicht, welche Methode sie verwendet), und es gibt nichts, was Wireshark auf den Stapel bringen könnte. joeqwerty vor 14 Jahren 0
@Farseeker: Danke, dass du meine Antwort angenommen hast. Es ist schön, jemanden zu haben, der technisch versiert ist. Ich bewundere, dass ich ein Daumen hoch bin. joeqwerty vor 14 Jahren 0
Bewundern? Es gibt ein Wort, von dem ich glaube, dass ich es noch nie in meine Richtung gehört habe. Wie auch immer, Ihr ServerFault-Repräsentant sieht sehr gesund aus :) Ich war überrascht, Sie hier zu sehen, um ehrlich zu sein, ich erwartete eine andere Gruppe von Benutzern! Mark Henderson vor 14 Jahren 0
Ja, ich komme nicht oft hierher. Gestern war ein Zufall, denke ich. ;) joeqwerty vor 14 Jahren 0
0
John

Sie sollten einen eingehenden Verbindungsversuch erhalten, da die Firewall die Pakete blockiert hat, sodass der Computer keine Antwort auf die Anforderung hat.

Verwandte Probleme