none
brana firewall neloguje zahozene pakety

    Dotaz

  • Dobrý den,
    na virtualizovaném Win2008 R2 v domenovém profilu s místními pravidly jsem zapnul logovaní vyřazených paketů do výchozího souboru
    %systemroot%\system32\LogFiles\Firewall\pfirewall.log
    Žádné pakety (položky DROPPED) se nelogují, i když jsou zahazovány.
    Logování úspěšných spojení na první pohled funguje (položky ALLOW)

    Další problém je, že tento firewall zahazuje i ty pakety, které jsou povoleny pravidlem pro konkrétní port, pokud na portu není spuštěna aplikace. Očekával bych a potřeboval bych odezvu typu TCP RST takovou, jako když je brána firewall zcela vypnuta.

    úterý 19. dubna 2011 14:47

Odpovědi

Všechny reakce

  • a) používejte raději bezpečnostní auditování do Security logu:

    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

    auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable

    budete mit potom ty udalosti normalne v Security logu.

    b) ano, firewall zahazuje (STEALTH) vsechny pakety jdouci na zavrene porty. to je normalka. proc vam to vadi? tohle by nedelal pouze, pokud by byl vypnuty.

    středa 20. dubna 2011 11:35
  • a) děkuji za náhradní řešení, v české variantě dokonce i funguje:

    auditpol /set /subcategory:"Zahození paketu architektury Filtering Platform" /success:enable /failure:enable

    Bohužel vzhledem k tomu, že se jedná mj. o web server na velké rušné lokální síti, tak bych si tímto pěkně rychle zaplácal security log. Navíc práce s event viewerem je výrazně pomalejší než s textovým logem. Beru to jako potvrzení chyby s normálním logováním. Zkoušel jsem zapnout i přes 

    netsh advfirewall set allprofiles logging droppedconnections enable

    ale stále nic, v logu pfirewall.log se chytlo jen pár multicast udp paketů.

     

    b) firewall zahazující pakety jdoucí na port, pro který má definovanou vyjímku "povolit připojení" není normální. Žádný jiný firewall co znám (linux, předchozí verze Win, fw třetích stran) toto nedělá.

    Vadí mi to, protože server potřebuje komunikovat s jinými servery, na kterých běží různé služby (např. ident daemon), které v případě zahozených paketů čekají na timeout spojení a neůměrně potom zpomalují webové aplikace (+ 5-10 sekund na 1 zahozený dotaz, představte si takové zpoždění pro každou webovou stránku).

    Ve Win2003 takový paket bez problémů firewallem projde, systém ho okamžitě odmítne (tcp reset) a nedochází ke znatelnému zpoždění při komunkaci.

    pátek 22. dubna 2011 8:26
  • Skuste netsh wfp capture start prikaz, a prejst vysledny XML, ci Vam napovie viac ...

    http://technet.microsoft.com/en-us/library/cc754451(WS.10).aspx

    http://technet.microsoft.com/en-us/library/dd735538(WS.10).aspx

     

    Boris.

     

    Neviem, ci je to aj Vas problem, ale zaujal ma tento clanok :

    http://thelowedown.wordpress.com/2010/03/25/microsoft-windows-2008-r2-whither-the-tcp-rst-ack/

     

    • Upravený Boris Ulik pátek 22. dubna 2011 20:05 Doplnenie
    • Navržen jako odpověď Jiří JanataMember sobota 23. dubna 2011 8:57
    • Označen jako odpověď Jiří JanataMember pondělí 25. dubna 2011 8:30
    • Zrušeno označení jako odpověď PavelXK pátek 29. dubna 2011 11:30
    pátek 22. dubna 2011 20:04
  • Děkuji za další informace, ty bohužel jen opět popisují problém, ale nenabízí použitelné řešení. Vypadá to, že jediné řešení je vypnout "Bránu Windows Firewall s pokročilým zabezpečením" a nainstalovat firewall třetí strany.

    XML z netsh capture potvrdilo, že windows firewall zahazuje příchozí pakety a to sice díky tomuto filtru (filterId odpovídá eventu se zahozeným paketem), který ale nejde vypnout:

     

    <item>
    	<filterKey>{0eae02b9-ea30-4112-926b-a1535d574213}</filterKey>
    	<displayData>
    		<name>Filtr ochrany před skenováním portů</name>
    		<description>Tento filtr zabraňuje skenování portů.</description>
    	</displayData>
    	<flags/>
    	<providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
    	<providerData>
    		<data>ffffffffffffffff</data>
    		<asString>........</asString>
    	</providerData>
    	<layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
    	<subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
    	<weight>
    		<type>FWP_UINT8</type>
    		<uint8>12</uint8>
    	</weight>
    	<filterCondition numItems="1">
    		<item>
    			<fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
    			<matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
    			<conditionValue>
    				<type>FWP_UINT32</type>
    				<uint32>1</uint32>
    			</conditionValue>
    		</item>
    	</filterCondition>
    	<action>
    		<type>FWP_ACTION_CALLOUT_TERMINATING</type>
    		<calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
    	</action>
    	<rawContext>0</rawContext>
    	<reserved/>
    	<filterId>84517</filterId>
    	<effectiveWeight>
    		<type>FWP_UINT64</type>
    		<uint64>13835058055315718144</uint64>
    	</effectiveWeight>
    </item>
    
    
    It's not a bug, it's a feature.

    http://technet.microsoft.com/en-us/library/dd448557(WS.10).aspx


    • Označen jako odpověď PavelXK pátek 29. dubna 2011 10:19
    • Zrušeno označení jako odpověď PavelXK pátek 29. dubna 2011 11:20
    pátek 29. dubna 2011 10:19
  • Konečně jsem našel, jak tuto vymoženost vypnout a opravit oba problémy jednou ranou:

    http://msdn.microsoft.com/en-us/library/ff720058(v=PROT.10).aspx

    • Označen jako odpověď PavelXK pátek 29. dubna 2011 11:20
    pátek 29. dubna 2011 11:19