Firewall funktionsweise

dayory · 11. November 2019 um 19:35

Guten Tag

Ich habe mal die Firewall von meinem Computer angesehen und da sah ich das sehr viele Verbinungen ins Internet blockiert werden. Ich war u.a heute mal auf der Website www.bilder-upload.com und jetzt sah ich unter den blockierten diese Websiten obwohl ich auf der Website schon lange nicht mehr auf der Seite bin jedoch versucht die Seite immer noch mit meinem PC kontakt augzunehmen für was?

Dann unter aktiven Anwendungen steht 192.168.1.40 Verbunden und dann nochmal 192.168.1.40 Verbindung wird hergestellt was zählt nun? Wie funktioniert diese Firewall?

Auch bei 192.168.1.43 steht Verbinung wird hergestellt wohl ich über Netzwerk -> Freigegegenen Orrner auf diesen Computer zugreiffen kann.

Unter aktivien Anwendungen steht weiter dann im Internet Explorer unter dieser Verbinung lauft bei mir z.B 88.198.56.226 und 188.40.70.45 mit was für Server ist er da verbunden?

Gruss
Nicolas

3quin0x · 11. November 2019 um 19:35

Ein paar Infos mehr wären nützlich! Welches Betriebssystem benutzt du? Welche Firewall? Was ist mit was verbunden? Gib mal in der Konsole > netstat -a bzw. netstat -b ein und poste das Ergebnis.

Gruß

dayory · 11. November 2019 um 19:35

Danke für die Antwort.

Ich habe Windows XP Professional.
Ich benutze die PC Tools Firewal Plus.

Wie meinst du was ist mit was Verbunden?

C:\Dokumente und Einstellungen\dayory>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP dayory-2fp1b6rb:epmap dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:microsoft-ds dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1027 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1038 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1044 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1049 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1051 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1053 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1054 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1057 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1079 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1087 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:5000 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:5152 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:5152 localhost:1039 SCHLIESSEN_WARTEN
TCP dayory-2fp1b6rb:5152 localhost:1041 SCHLIESSEN_WARTEN
TCP dayory-2fp1b6rb:12025 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12080 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12110 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12119 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12143 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12465 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12563 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12993 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:12995 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:netbios-ssn dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1038 live-reflector.infomaniak.ch:http HERGEST
TCP dayory-2fp1b6rb:1079 chat.knuddels.de:2712 HERGESTELLT
TCP dayory-2fp1b6rb:1087 a213-221-253-138.deploy.akamaitechnologies
ttp HERGESTELLT
TCP dayory-2fp1b6rb:1089 192.168.1.43:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1090 192.168.1.43:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1094 192.168.1.40:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1097 192.168.1.43:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1099 192.168.1.40:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1101 192.168.1.41:netbios-ssn WARTEND
TCP dayory-2fp1b6rb:1103 dayory-2fp1b6rb:0 ABHÖREN
TCP dayory-2fp1b6rb:1103 192.168.1.40:netbios-ssn HERGESTELLT
UDP dayory-2fp1b6rb:epmap *:*
UDP dayory-2fp1b6rb:microsoft-ds *:*
UDP dayory-2fp1b6rb:isakmp *:*
UDP dayory-2fp1b6rb:1025 *:*
UDP dayory-2fp1b6rb:1030 *:*
UDP dayory-2fp1b6rb:1031 *:*
UDP dayory-2fp1b6rb:ntp *:*
UDP dayory-2fp1b6rb:1036 *:*
UDP dayory-2fp1b6rb:1040 *:*
UDP dayory-2fp1b6rb:1042 *:*
UDP dayory-2fp1b6rb:1900 *:*
UDP dayory-2fp1b6rb:ntp *:*
UDP dayory-2fp1b6rb:netbios-ns *:*
UDP dayory-2fp1b6rb:netbios-dgm *:*
UDP dayory-2fp1b6rb:1900 *:*

Gruss
Nicolas

3quin0x · 11. November 2019 um 19:35

Ich kenn mich leider mit deiner Firewall-Software nicht aus. Bin auch kein Experte, aber Netbios gibt es meines Wissens nicht mehr seit Windows 2000. Aber die Verbindung zu 88.198.56.226 konnte ich zurückverfolgen, die mit 188.40.70.45 nicht. Sind aber beide bei hetzner.de angemeldet. Die 188.40.70.45 bedeutet definitiv nichts gutes, weil 1) nicht zurückverfolgbar und 2) hat mir Wot eine Warnmeldung beim Aufruf der Seite gegeben und zwar mit der Farbe rot=gefährlich. Deaktiviere die Verbindung einfach, wenn es eine Funktion gibt alle Verbindungen von außen blocken, dann mach das. Bin auch kein Windows Profi, unter Linux könnt ich dir jetzt ein paar Tipps zum weiteren Vorgehen geben, aber es gibt ja noch andere User hier im Forum.

Gruß

3quin0x · 11. November 2019 um 19:35

Achso noch etwas, falls du BitTorrenter benutzt deaktivier die mal.

dayory · 11. November 2019 um 19:35

Bei http://188.50.70.45 oder so kommt bei mir eine leere Seite. Was schlimmes kanns ja nicht sein…
Weshalb aber stellt er die Verbindung mit Bilder-upload.de her obwohl ich nicht mehr auf der Seite bin? Sie wird ja ständig geblockt mit andern Verbinungen.

Habe kein BitTorent.
Habe da noch paar Screenshots.

http://www.abload.de/img/screen3ge5.jpg
http://www.abload.de/img/screen20egr.jpg
http://www.abload.de/img/screen3fh6n.jpg
http://www.abload.de/img/screen54ci1.jpg

3quin0x · 11. November 2019 um 19:36

Also, schau morgen nochmal in die Firewall, dann dürfte der Eintrag weg sein, da du, nehme ich mal an, eine dynamische IP hast, der Screenshot mit Awil/Avast das ist dein Antivirenprogramm. Wenn du sicher sein willst benutze zusätzlich zu deiner Firewall ein IDS-Programm, ich glaube Snort gibt es auch für Windows, musste mal googeln. Das ist ein Programm zum erkennen von Angriffen.

Gruß

Norbert_Blecker · 11. November 2019 um 19:36

Hallo,

nobby@nobby:~$ whois 188.50.70.45
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the „-B“ flag.

% Information related to ‚188.50.0.0 - 188.50.255.255‘

inetnum: 188.50.0.0 - 188.50.255.255
netname: SAUDINET_DSL_POOL
descr: DSL HOME Subscribers
country: SA
admin-c: STCR1-RIPE
tech-c: STCR2-RIPE
status: ASSIGNED PA
mnt-by: SAUDINET-STC
mnt-lower: SAUDINET-STC
mnt-routes: SAUDINET-STC
source: RIPE # Filtered

role: Saudi Telecom Co. Registry Admin-C contact
address: King Fahad Road, Abraj Atta’awuneya(NCCI Building), South Tower, 4th floor, Saudi Net
address: P.O.Box: 295997
address: Riyadh 11351
address: Saudi Arabia
phone: +966-1-218-0300
fax-no: +966-1-218-0311
e-mail: [email protected]
admin-c: SA702-RIPE
tech-c: SA702-RIPE
remarks: For any Abuse or Spamming please send your requests directly to [email protected]
mnt-by: SAUDINET-STC
nic-hdl: STCR1-RIPE
source: RIPE # Filtered

role: Saudi Telecom Co. Registry Tech-C contact
address: King Fahad Road, Abraj Atta’awuneya(NCCI Building), South Tower, 4th floor, Saudi Net
address: P.O.Box: 295997
address: Riyadh 11351
address: Saudi Arabia
phone: +966-1-218-0300
fax-no: +966-1-218-0311
e-mail: [email protected]
admin-c: SA702-RIPE
tech-c: SA702-RIPE
remarks: For any Abuse or Spamming please send your requests directly to [email protected]
mnt-by: SAUDINET-STC
nic-hdl: STCR2-RIPE
source: RIPE # Filtered

% Information related to ‚188.48.0.0/13AS25019‘

route: 188.48.0.0/13
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

% Information related to ‚188.48.0.0/14AS25019‘

route: 188.48.0.0/14
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

% Information related to ‚188.50.0.0/15AS25019‘

route: 188.50.0.0/15
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

% Information related to ‚188.50.0.0/16AS25019‘

route: 188.50.0.0/16
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

% Information related to ‚188.50.0.0/17AS25019‘

route: 188.50.0.0/17
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

% Information related to ‚188.50.64.0/18AS25019‘

route: 188.50.64.0/18
descr: Saudi Arabia backbone and local registry address space / STC
remarks: for any Abuse or Spamming Please send an e-mail to [email protected]
origin: AS25019
mnt-by: saudinet-stc
source: RIPE # Filtered

nobby@nobby:~$

Gruß Norbert

3quin0x · 11. November 2019 um 19:38

Er hatte aber die IP gemeint > 188.40.70.45 siehe Eröffnungsartikel unten. Und die ist bei hetzner.de

Gruß

dayory · 11. November 2019 um 19:43

Hallo,

Dank für eure Antworten.

Ich habe eine statische IP. Eigentlich vom ISP dynamisch jedoch bin ich Monatelang mit der gleichen online… Da meine Firewall soviele Zugriffe sperrt geht das lange bis ich die IP mit der eventuell gefählichen Seite wieder finde.

Ich habe im ersten Beitrag noch andere Fragen gestellt auf welche ich bisher noch keine Antwort erhalten habe und zwar z.B

Weshalb stehen unter laufenden Anwendungen -> Verbindungen
z.B die IP von Googel und dann Verbinung hergestellt obwohl ich nicht mehr auf der Seite bin oder noch heute noch nie auf der Seite war?

oder

Auf den Screenshots sind die IPs 192.168.1.44, 192.168.1.34 etc zu sehen das sind andere Computer bei uns im Netzwerk weshalb steht in der Firewall mal Verbinung hergestellt dann mal Wartend etc? was gillt nun?

Wieso ist mein Computer mit mit Seiten im Internet verbunden obwohl ich sie nicht angewählt habe? Bei manchen Seiten ist es klar wenn ich den IE offen habe und auf Googel bin steht die IP von Googel jedoch sind unter der IE Anwendung noch andere IPs die nicht zu Googel gehören.

Gruss
Nico

3quin0x · 11. November 2019 um 19:44

Hallo,

Dank für eure Antworten.

Ich habe eine statische IP. Eigentlich vom ISP dynamisch
jedoch bin ich Monatelang mit der gleichen online… Da meine
Firewall soviele Zugriffe sperrt geht das lange bis ich die IP
mit der eventuell gefählichen Seite wieder finde.

Ich habe im ersten Beitrag noch andere Fragen gestellt auf
welche ich bisher noch keine Antwort erhalten habe und zwar
z.B

Weshalb stehen unter laufenden Anwendungen -> Verbindungen
z.B die IP von Googel und dann Verbinung hergestellt obwohl
ich nicht mehr auf der Seite bin oder noch heute noch nie auf
der Seite war?

Du hast bestimmt irgendwelche Software von google installiert. Google ist bekannt dafür informationen zu sammeln, was im Hintergrund abläuft.

oder

Auf den Screenshots sind die IPs 192.168.1.44, 192.168.1.34
etc zu sehen das sind andere Computer bei uns im Netzwerk
weshalb steht in der Firewall mal Verbinung hergestellt dann
mal Wartend etc? was gillt nun?

Ferndiagnosen sind immer schwer, hol dir das Programm wireshark und sniffe dein Netzwerk, dann siehst du was für Daten ausgetauscht werden.

Wieso ist mein Computer mit mit Seiten im Internet verbunden
obwohl ich sie nicht angewählt habe? Bei manchen Seiten ist es
klar wenn ich den IE offen habe und auf Googel bin steht die
IP von Googel jedoch sind unter der IE Anwendung noch andere
IPs die nicht zu Googel gehören.

Hast du irgendwelche Serversoftware drauf, wie Apache benutzt du Datenbanken?

Gruss
Nico

dayory · 11. November 2019 um 19:49

Hallo,

Nein, wüsste nicht was für für Programme du von Googel meinst.

Nein das ist nur ein Computer da sind keine Serversoftware wie Apache oder XAMPP drauf. Wüsste nicht was für Datenbaken damit kenne ich mich eigentlich gar nicht aus.

Heute ging ich noch mit einem andern Computer ins Internet und dann habe ich mal mit Kaspersky Internet Security unter Netzwerkverkehr bisschen umgeschaut und habe gesehen das wenn ich bei de.netlog.com surfe es unter der Googel IP die Datenpakete anrechnet also jedes mal wenn ich auf die de.netlog.com Seite bereten habe, hats paar kb mehr zur IP von Googel dazugezählt wieso das? Netlog hat eine 193. IP und nicht 212. IP-Adresse ich versteh das nicht.
Die Videos welche ich mir bei Netlog angesehen habe wurden ebenfalls über die Googel IP berechnet die Videos versteh ich ja noch weil einige von Youtube sind. Aber dann die Website welche ja eigentlich über eine andere IP erreichbar ist dann nicht von dieser IP berechnet wird versteh ich nicht. Netlog gehört ja nicht Googel…

Gruss
Nico

dayory · 11. November 2019 um 20:04

kann mir einer weiter helfen?