frank1971
Goto Top

Windows 7: ping geht nicht bei ausgeschaltetem Firewall Dienst

Hallo zusammen,

Meinen Rechner A mit Windows 7 kann ich von Rechner B aus anpingen, wenn die Firewall auf A läuft. Deaktiviere ich den Firewall Dienst auf meinem Rechner A, kann ich ihn von B aus nicht mehr anpingen. Zu Fehleranalysezwecken würde ich gerne die Firewall ausschalten aber wer weiß, was dann alles nicht mehr geht. Über Systemsteuerung -> Firewall kann ich sie leider nicht deaktivieren. Ist dieses ping Verhalten normal oder mache ich irgend etwas falsch?

LG
Frank

Content-Key: 427348

Url: https://administrator.de/contentid/427348

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 11.03.2019 um 13:07:39 Uhr
Goto Top
Hast du irgend eine andere externe Security Suite auf dem Rechner wie Kaspersky oder Norton usw. ? Das hebelt dann die Winblows Firewall aus.
Nur das kann bei dir der Fall sein. Ist ja klar, wenn die Firewall aus ist, ist jeglicher Schutz weg. Halbweg geht nicht wenn du nicht ein völlig vermurkstes Win 7 hast.
Mitglied: itisnapanto
itisnapanto 11.03.2019 um 13:08:21 Uhr
Goto Top
Zitat von @Frank1971:

Hallo zusammen,

Moin moin

Über Systemsteuerung -> Firewall kann ich sie leider nicht deaktivieren.

Warum nicht ?

Evtl hängt da noch eine Antivirenlösung mit integrierter FW dahinter ?


LG
Frank

Gruss Michael
Mitglied: Frank1971
Frank1971 11.03.2019 um 13:14:47 Uhr
Goto Top
Den Antivirus habe ich zu Testzwecken beendet, der kann nicht daran Schuld sein.

Wenn ich auf Windows Firewall ein/ausschalten klicke, dann erscheint "Zu Ihrer Sicherheit werden einige Einstellungen vom Systemadministrator verwaltet" und der Radio Button "Windows Firewall deaktivieren" ist ausgegraut. Und das obwohl. Der Menupunkt Windows Firewall ein- oder ausschalten das Schild Symbol für "Ausführen als Administrator" hat.
Mitglied: Pjordorf
Pjordorf 11.03.2019 um 13:26:33 Uhr
Goto Top
Hallo,

Zitat von @Frank1971:
Über Systemsteuerung -> Firewall kann ich sie leider nicht deaktivieren.
Da gibt es nur den Punkt Systemsteuerung - Window-Firewall Und dort dann Windows-Firewall ein- oder ausschalten. Und da kannst du festlegen welche FirewallProfile du dort ativieren (immer nur eines) oder deaktivieren willst. Was ist bei dir dort? Und ob man komplett alle Profile deaktivieren kann? Und bedenle, das je nach gewähltem Profil es änderungen geben kann wie auf ein ICMP Request reagiert werden soll.

Ist dieses ping Verhalten normal oder mache ich irgend etwas falsch?
Nein, ist nicht Normal und wenn wei schon gesagt 3te Programme installiert sind halten die die Kontrolle.

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 11.03.2019 aktualisiert um 13:35:10 Uhr
Goto Top
Hallo,

Zitat von @Frank1971:
Den Antivirus habe ich zu Testzwecken beendet, der kann nicht daran Schuld sein.
Nur eine Deaktiviertes AntiVirus ist wirklich ausgeschaltet. Je nach Produkt und Hersteller ist ein Deaktivieren grundsätzlich nicht möglich.

"Zu Ihrer Sicherheit werden einige Einstellungen vom Systemadministrator verwaltet"
Ein Hinweis das du in einer Domäne dich befindest und der Admin GPOs anwendet welche ein manuelles Eingreifen verhindern. Was sagt dein Admin?

Gruß,
Peter
Mitglied: Frank1971
Frank1971 11.03.2019 um 13:31:48 Uhr
Goto Top
So sieht Firewall ein- ausschalten bei mir aus (Siehe angefügtes Bild).
firewalleinausschaltenscreenshot
Mitglied: itisnapanto
itisnapanto 11.03.2019 um 13:34:34 Uhr
Goto Top
Bist du Admin dieser Domäne ?
Wenn ja . Schaue mal in die GPO's

Bist du nicht der Admin . Wende dich an den Admin .


Gruss
Mitglied: Frank1971
Frank1971 11.03.2019 um 13:39:09 Uhr
Goto Top
Auf meinem Rechner ist Trend Micro worry-free Business Security Agent installiert, den habe ich beendet. Wenn mein Domain Admin mal Zeit hat, werde ich ihn bitten, die Firewall im Menu zu deaktivieren.
Mitglied: Pjordorf
Pjordorf 11.03.2019 um 13:45:37 Uhr
Goto Top
Hallo,

Zitat von @Frank1971:
Auf meinem Rechner ist Trend Micro worry-free Business Security Agent installiert, den habe ich beendet.
Wie gesagt ein Beenden reicht oftmals nicht. Nur ein Deinstallieren bringt den oftmals erfhoften Erfolg.

Wenn mein Domain Admin mal Zeit hat, werde ich ihn bitten, die Firewall im Menu zu deaktivieren.
Bendeke auch das dein Admin sich dabei was gedacht hat eine Firewall auch im Internen Netz zu betreiben. Und du mit deinen Wunsch die Firewall auszuschalten evtl. gegen Richtlinien verstösst was Arbeitsrechtliche folgen haben kann.

Dann mach bitte noch einen grünen Balken dran. Wie kann ich einen Beitrag als gelöst markieren?

Gruß,
Peter
Mitglied: itisnapanto
itisnapanto 11.03.2019 um 13:46:05 Uhr
Goto Top
Zitat von @Frank1971:

Auf meinem Rechner ist Trend Micro worry-free Business Security Agent installiert, den habe ich beendet. Wenn mein Domain Admin mal Zeit hat, werde ich ihn bitten, die Firewall im Menu zu deaktivieren.

Hab's mir fast gedacht .

Mal ne doofe Frage . Was veranlasst dich als Nichtadmin denn dazu, an den Sicherheiten des PC's zu fummeln ?
Wozu musst du pingen können ?

Gruss
Mitglied: erikro
erikro 11.03.2019 um 13:49:18 Uhr
Goto Top
Moin,

Zitat von @Frank1971:

Hallo zusammen,

Meinen Rechner A mit Windows 7 kann ich von Rechner B aus anpingen, wenn die Firewall auf A läuft. Deaktiviere ich den Firewall Dienst auf meinem Rechner A, kann ich ihn von B aus nicht mehr anpingen.

Du schaltest den kompletten Dienst aus in der Diensteverwaltung oder über net use stop? Dann ist das kein Fehler, sondern arbeitet wie entworfen. Ab, wenn ich mich recht entsinne, Windows Vista unterbindet Windows jeden Netzwerkzugriff, wenn der Firewalldienst nicht läuft. Allerdings wundert es mich, dass Euer Admin Dich da ran lässt.

hth

Erik
Mitglied: Frank1971
Frank1971 11.03.2019 um 13:55:06 Uhr
Goto Top
Mein eigentliches Problem ist, dass auf meinem Rechner ein TCP Service läuft und auf Port 8001 ein listen macht. Lokal d.h. mit telnet IP-Adresse 8001 ist der Dienst erreichbar. Man kann mit telnet zwar nichts sinnvolles machen aber der Connect funktioniert. Er muss aber auch von anderen Geräten aus erreichbar sein, was schon beim TCP Verbindungsaufbau fehlschlägt. Ich habe es auch mit einer eingehenden Firewall Regel "Port 8001 von allen IP-Adressen" probiert, hat leider nichts genutzt.
Mitglied: erikro
erikro 11.03.2019 um 14:01:23 Uhr
Goto Top
Moin,

Zitat von @Frank1971:

Mein eigentliches Problem ist, dass auf meinem Rechner ein TCP Service läuft und auf Port 8001 ein listen macht.

Das weiß Eure Systemadministration?

Lokal d.h. mit telnet IP-Adresse 8001 ist der Dienst erreichbar.

Das heißt was? Im lokalen Netz oder lokal auf demselben Rechner?

Man kann mit telnet zwar nichts sinnvolles machen aber der Connect funktioniert. Er muss aber auch von anderen Geräten aus erreichbar sein, was schon beim TCP Verbindungsaufbau fehlschlägt.

Woher weißt Du das? Fehlermeldungen?

Und immer noch die Frage: Wieso richtet das nicht der zuständige Admin ein?

Liebe Grüße

Erik
Mitglied: DerWoWusste
Lösung DerWoWusste 11.03.2019 um 14:18:49 Uhr
Goto Top
Microsoft sagt klipp und klar: Schaltet den Dienst nicht aus, es kommt zu Fehlfunktionen!
Willst Du die Firewall ausschalten, dann mach das über die Firewall GUI und nicht über die Dienste GUI. Der Dienst MUSS laufen.
Mitglied: Frank1971
Frank1971 11.03.2019 um 14:28:01 Uhr
Goto Top
a) Ja, das wissen sie
b) lokal auf meinem Rechner
c) ja, Fehlermeldung vom telnet Kommando
d) Mein Admin ist ebenso ratlos wie ich
Mitglied: erikro
erikro 11.03.2019 um 14:32:36 Uhr
Goto Top
Zitat von @Frank1971:

a) Ja, das wissen sie

ok

b) lokal auf meinem Rechner

ok

c) ja, Fehlermeldung vom telnet Kommando

Welche genau?

d) Mein Admin ist ebenso ratlos wie ich

Das ist schlecht. face-wink
Mitglied: Frank1971
Frank1971 11.03.2019 um 14:41:24 Uhr
Goto Top
Es kommt folgende Fehlermeldung:

Verbindungsaufbau zu 192.168.168.78...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 8001: Verbindungsfehler
Mitglied: erikro
erikro 11.03.2019 um 14:51:29 Uhr
Goto Top
Zitat von @Frank1971:

Es kommt folgende Fehlermeldung:

Verbindungsaufbau zu 192.168.168.78...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 8001: Verbindungsfehler

Nur dass wir das richtig verstehen:

telnet 127.0.0.1 8001 
und
192.168.168.78 8001

auf der Maschine, auf der das installiert ist, geht.

192.168.168.78 8001

von einer anderen Maschine geht nicht. Richtig?
Mitglied: aqui
aqui 11.03.2019 aktualisiert um 14:56:31 Uhr
Goto Top
Ich habe es auch mit einer eingehenden Firewall Regel "Port 8001 von allen IP-Adressen" probiert, hat leider nichts genutzt.
Eigentlich Unsinn, denn indirekt sagst du damit ja das die Firewall nicht funktioniert, was ganz sicher nicht stimmt. An so einer zentralen und wichtigen Stellschraube bei Windows würde sowas sofort auffallen.
Man kann dann also nur davon ausgehen das das ein PEBKAC Problem ist und deine Regel in der Firewall schlicht falsch ist !
Mitglied: erikro
erikro 11.03.2019 um 15:05:31 Uhr
Goto Top
Zitat von @aqui:
Man kann dann also nur davon ausgehen das das ein PEBKAC Problem ist und deine Regel in der Firewall schlicht falsch ist !

Die entscheidende Information, ob allow, deny oder reject in der Regel steht, fehlt ja. face-wink
Mitglied: Frank1971
Frank1971 11.03.2019 um 15:15:34 Uhr
Goto Top
Das ist natürlich eine allow Regel, für alle Profile.
Mitglied: Frank1971
Frank1971 11.03.2019 um 15:17:08 Uhr
Goto Top
genau face-smile
Mitglied: erikro
erikro 11.03.2019 um 15:52:56 Uhr
Goto Top
Dann führe mal bitte den Befehl

netstat -an

aus und poste die Zeilen in denen in der Spalte Lokale Adresse hinter dem Doppelpunkt die 8001 steht.

(Falls das ein Win8 oder höher ist, dann geht auch Get-NetTCPConnection -localport 8001 auf der Powershell)
Mitglied: Pjordorf
Lösung Pjordorf 11.03.2019 um 15:58:44 Uhr
Goto Top
Hallo,

Zitat von @erikro:
netstat -an | find ":8001"  
Ist besser geeignet

(Falls das ein Win8 oder höher ist, dann geht auch Get-NetTCPConnection -localport 8001 auf der Powershell)
Ist ein Windows 7 wie der TO anfangs erwähnt.

Gruß,
Peter
Mitglied: Frank1971
Frank1971 11.03.2019 um 16:00:24 Uhr
Goto Top
Das Ergebnis:

C:\Windows\System32>netstat -an |find ":8001"
TCP 0.0.0.0:8001 0.0.0.0:0 ABHÖREN
TCP [::]:8001 [::]:0 ABHÖREN

C:\Windows\System32>
Mitglied: erikro
erikro 11.03.2019 um 16:06:25 Uhr
Goto Top
Zitat von @Pjordorf:
Zitat von @erikro:
netstat -an | find ":8001"  
Ist besser geeignet

Da hast Du allerdings recht. Je länger ich die Powershell benutze, desto mehr gerät die gute alte DOS-Shell in Vergessenheit. face-wink
Mitglied: erikro
Lösung erikro 11.03.2019 um 16:11:32 Uhr
Goto Top
Zitat von @Frank1971:
TCP 0.0.0.0:8001 0.0.0.0:0 ABHÖREN
TCP [::]:8001 [::]:0 ABHÖREN

Er hört auf allen Netzwerkadapter unter IPv4 und IPv6 und akzeptiert alle eingehenden IPs und Ports. Also ist von Seiten des PCs alles benötigte offen. Du hast definitiv ein Problem mit der Firewall. Wenn die Regel, die Du erstellt hast, nicht wirkt, dann ist sie entweder falsch formuliert oder eine höherrangige Regel widerspricht ihr und unterbindet den Verkehr. Oder es ist zwischen A und B noch eine FW, die das nicht durch lässt.

Versuchsweise die Windows-FW abschalten und schauen, ob es dann geht.
Mitglied: Pjordorf
Pjordorf 11.03.2019 aktualisiert um 16:25:35 Uhr
Goto Top
Hallo,

Zitat von @Frank1971:
netstat -an |find ":8001"
und ein
netsat -ano | find ":8001"  
liefert dir die Processnummer mit, mit ein Blick im Taskmanager und der ProzessID sichtbar, sagt dir dann welche EXE sich dahinter verbirgt. Passt das alles?
Und solange dein Admin dir nicht hilft (wann immer der /die auch Zeit hat) wirst du mit der Firewall niicht Glücklich denn das DomänenProfil ist in deiner Domäne immer Gültig und eingeschaltet. Wenn sich allerdings deine Einstellungen auf andere Profile (Öffentliche oder Heim/Privat) beziehen wird es komplexer weil dein DomänenProfil nicht ausgeschaltet werden kann (GPO).

Ein tasklist
tasklist /FI "PID eq deinePIDnummer"  
tut es auch.

Gruß,
Peter
Mitglied: holli.zimmi
holli.zimmi 12.03.2019 um 08:05:16 Uhr
Goto Top
HI,


Zitat von @Pjordorf:

Hallo,

Zitat von @Frank1971:
netstat -an |find ":8001"
und ein
netsat -ano | find ":8001"  
liefert dir die Processnummer mit, mit ein Blick im Taskmanager und der ProzessID sichtbar, sagt dir dann welche EXE sich dahinter verbirgt. Passt das alles?
Und solange dein Admin dir nicht hilft (wann immer der /die auch Zeit hat) wirst du mit der Firewall niicht Glücklich denn das DomänenProfil ist in deiner Domäne immer Gültig und eingeschaltet. Wenn sich allerdings deine Einstellungen auf andere Profile (Öffentliche oder Heim/Privat) beziehen wird es komplexer weil dein DomänenProfil nicht ausgeschaltet werden kann (GPO).

Ein tasklist
tasklist /FI "PID eq deinePIDnummer"  
tut es auch.

Gruß,
Peter

daher kann nur dein Admin eine spezielle GPO bauen, die den Port nur für deinen Rechner freischaltet. Dazu muesste er deinen Rechner in eine neue OU packen.

Gruß

Holli
Mitglied: Frank1971
Frank1971 12.03.2019 um 08:41:17 Uhr
Goto Top
In den Firewall Regeln war eine Regel drin mit deny für alle eingehenden TCP Ports, stammt wohl von meinem Vorgänger. die muss wohl höhere Priorität gehabt haben als meine Regel für 8001 eingehende Verbindungen allow. Nach löschen der Regel funktioniert es jetzt, mit laufender Firewall und laufendem Antivirus. Vielen Dank an alle, die hier zur Lösung beigetragen haben.
Mitglied: aqui
aqui 12.03.2019 aktualisiert um 10:34:26 Uhr
Goto Top
die muss wohl höhere Priorität gehabt haben als meine Regel für 8001 eingehende Verbindungen allow.
Hat sie immer wenn sie VOR deiner Regel steht !!
Auch in der Winblows Firewall gilt wie immer: "First match wins !"
Spricht der erste Hit gewinnt und die danach folgenden werden NICHT mehr abgearbeitet !
Weiss man als Netzwerker aber eigentlich auch ?!

Case closed !
Mitglied: erikro
erikro 12.03.2019 um 13:31:26 Uhr
Goto Top
Moin,

Zitat von @aqui:

die muss wohl höhere Priorität gehabt haben als meine Regel für 8001 eingehende Verbindungen allow.
Hat sie immer wenn sie VOR deiner Regel steht !!
Auch in der Winblows Firewall gilt wie immer: "First match wins !"
Spricht der erste Hit gewinnt und die danach folgenden werden NICHT mehr abgearbeitet !
Weiss man als Netzwerker aber eigentlich auch ?!

Und deshalb löscht man die alte Regel auch nicht einfach, sondern sortiert die Regeln nur richtig.

Was mich noch rein aus Neugier interessieren würde: Warum richtet man auf einer Arbeitsstation in einer Firma einen Streamingdienst ein? Oder wird der Port 8001 hier für was anderes benutzt?

Liebe Grüße

Erik
Mitglied: aqui
aqui 12.03.2019 aktualisiert um 13:55:29 Uhr
Goto Top
Die Frage ist in der Tat interessant...!
Vermutlich streamt der TO ein paar dänische Western für die Kollegen ins Netz mit VLC face-wink
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
Mitglied: Frank1971
Frank1971 14.03.2019 um 08:41:25 Uhr
Goto Top
Ich verwende Port 8001 um Verbindungen von Devices zu akzeptieren (IOT). Hat nichts mit streaming zu tun.
Mitglied: aqui
aqui 14.03.2019 um 16:26:46 Uhr
Goto Top
Ist ein IANA registrierter Port und keine gute Wahl. Für eigene Sachen sollte man immer die sog. Ephemeral Ports 49152 bis 65535 verwenden.
https://en.wikipedia.org/wiki/Ephemeral_port
Mitglied: Pjordorf
Pjordorf 14.03.2019 um 16:56:58 Uhr
Goto Top
Hallo,

Zitat von @aqui:

Ist ein IANA registrierter Port und keine gute Wahl. Für eigene Sachen sollte man immer die sog. Ephemeral Ports 49152 bis 65535 verwenden.
Und laut https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers ist 8001 frei, aber es gibt in https://www.iana.org/assignments/service-names-port-numbers/service-name ... den Hinweis das 8001 Unauthorized genutzt wird.
vcom-tunnel 	8001 	tcp 	VCOM Tunnel 	[Mark_Lewandowski] 	[Mark_Lewandowski] 					Known Unauthorized Use on port 8001 	
vcom-tunnel 	8001 	udp 	VCOM Tunnel 	[Mark_Lewandowski] 	[Mark_Lewandowski] 					Known Unauthorized Use on port 8001

Gruß,
Peter