Was man so alles in der Firewall findet

Hast Du denn vorher vielleich POIs gesync`t ?

Ansonsten : nicht verzagen, Tobi fragen

Zitat

Original von Matok25
A computer at pocketnavigation.net has attempted an unsolicited connection to TCP port 3965 on your computer.

Schöne Grüße
Uwe

<Edit>
P.S. mit der IP Adresse des Servers!
nun komme ich ins grübeln!
Was will der von mir??

Alles anzeigen

:gap
Hängt davon ab wie gut Deine Firewall ist.
Manche Firewalls geben einen "Fliegenschi*" als Warnung aus um mal was richtig wichtiges anzuzeigen....da man die richtig schlimmen Attacken nicht erkennt ;).
Geht es um Local oder Remote Ports?
Wenn es um erstere geht ist das kein Problem.
Du gehst über Port 80 via Internet auf einen http-server und rufst eine Seite ab.
Port 80 ist der Remote Port.
Der Local Port kann ein ganz anderer sein.
Man muß wissen was als Local-Port genutzt wird und was nicht. Die Meldung "Port so-und-so wurde angesprochen" hilft gar nichts solange man nichts detailliertes kennt.

Ich hatte mal den (dämlichen) Fehler gemacht die von Opera meist nicht benutzten Ports zu filtern...besonders was FileSharing betrifft.
So kam es das kein Surfen mehr ging nachdem die Ports im Bereich 4662(local) von Opera benutzt wurden

Hmm, schwer zu sagen ohne mehr über Deine Firewallkonfiguration zu wissen.
Welches OS?
Welche Firewall?
Welcher Browser?
Welche Rules sind auf der FW definiert.
Welche Rules hast Du für den Browser definiert?
Vollständigen Zugriff auf Internet erlauben?
Läuft der Server der Pocketnet hostet auf Unix?

lg. Nudnik

Zitat

A computer at pocketnavigation.net has attempted an unsolicited connection to TCP port 3965 on your computer.

- Stand das so wörtlich im Log?
- Welche IP? (ev 217.160.73.103)

Die Story ist interessant, weil dort _unsolicted/unaufgefordert_ steht.

Oder auch: Von _dort_ wurde ein Verbindungsaufbau versucht.
Für die Webseiten/Synch (Port 80) wird die Verbindung zu 217.160.73.103/PocketNav vom PDA/PC initiert.
Der Port gehört nicht zu den üblichen benutzten.
Wolf

---> Nachtrag:
Vermutlich gehört das wieder zu diesem verdammt neugierigen ICQ; hatte ich bei anderen Boards bis zum Erbrechen. (Habe seit ca 3..4 Jahren _kein_ ICQ/Nachfolger mehr.)

Nachtrag zur FW-Warnung:

- Yepp, ICQ hängt im Forum mit drin. (s.u.)
- NETSTAT -a zeigt alle Verbindungen der Maschine an.
- Aber die FW-Meldung von Uwe sagt, dass sich (vermutlich) ICQ gemeldet hat.
- Wenn Uwe ICQ hat, könnte das sogar "legitim" sein, wenn er das im Profil angegeben hat.
- Nur, warum nehmen die nicht die eigene IP, wenn sie ´was wollen???

Wolf
... Log anbei

---- von eben, nach Refresh vom Forum)-----
...
TCP Wolf-NB:1900 Wolf-NB:0 LISTENING
TCP Wolf-NB:137 Wolf-NB:0 LISTENING
TCP Wolf-NB:138 Wolf-NB:0 LISTENING
TCP Wolf-NB:nbsession Wolf-NB:0 LISTENING
TCP Wolf-NB:3790 clustere.icq.com:80 ESTABLISHED <=========== ICQ hört mit
TCP Wolf-NB:3805 status-d.icq.com:80 ESTABLISHED <=========== dito
TCP Wolf-NB:3812 pocketnavigation.net:80 LAST_ACK
TCP Wolf-NB:3813 pocketnavigation.net:80 CLOSE_WAIT
TCP Wolf-NB:3814 pocketnavigation.net:80 CLOSE_WAIT
TCP Wolf-NB:3815 pocketnavigation.net:80 CLOSE_WAIT
TCP Wolf-NB:3816 pocketnavigation.net:80 ESTABLISHED
TCP Wolf-NB:3817 pocketnavigation.net:80 ESTABLISHED
TCP Wolf-NB:3818 pocketnavigation.net:80 ESTABLISHED
TCP Wolf-NB:3819 pocketnavigation.net:80 ESTABLISHED
TCP Wolf-NB:3820 pocketnavigation.net:80 SYN_SENT
TCP Wolf-NB:3821 pocketnavigation.net:80 SYN_SENT
UDP Wolf-NB:1026 *:*
UDP Wolf-NB:1027 *:*
UDP Wolf-NB:1028 *:*
UDP Wolf-NB:1029 *:*
...

Zitat

Original von WolfL
...-(vermutlich) ICQ gemeldet hat.

Wie kommst Du denn darauf ??

Zitat

---- von eben, nach Refresh vom Forum)-----
TCP Wolf-NB:137 Wolf-NB:0 LISTENING
TCP Wolf-NB:138 Wolf-NB:0 LISTENING

Na die sind ja hoffentlich hinter Deiner FW

Zitat

TCP Wolf-NB:3790 clustere.icq.com:80
TCP Wolf-NB:3805 status-d.icq.com:80 TCP

Das Zauberwort war "unsolicited" was hier ja nicht der Fall ist!
Das kanns also nicht sein.

lg. Nudnik

Kommentare eingefügt.
Wolf

Zitat

Original von Nudnik

Wie kommst Du denn darauf ??
====> Das liegt nahe, weil ICQ die IP von Uwe kennt; aber ich sagte auch _vermutlich_.

Na die sind ja hoffentlich hinter Deiner FW
====> vom I-Net aus betrachtet natürlich; ich will doch keine Besucher.

Das Zauberwort war "unsolicited" was hier ja nicht der Fall ist!
Das kanns also nicht sein.
====> Doch genau das ist es.
(Bei mir im Beispiel ist natürlich alles clean)
Das Forum hat meinen 80er Request auch an ICQ weitergegeben. Antwort (von ICQ) wäre also (fast) OK; na ja, eigentlich sollte ICQ _ohne_ einen Eintrag in meinem Profil mich in Ruhe lassen und gar keinen weitergegeben 80er akzeptieren.
Was aber extrem unfreundlich ist, eine Verbindung _von (vermutlich) ICQ zum Surfer_ aufzubauen.
Bei mir ist in diesem Forum sowas noch nicht passiert.
...

lg. Nudnik

Alles anzeigen

----> Nachtrag:
Interessant wäre die IP, die Uwe mit der FW-Meldung hatte.

ThrobCrop
Thema FW....(leicht OT)

Vor Monaten hatte ich eine mehrtägige Diskussion mit dem Admin eines Forums:
Er baute eine Beschränkung der parallelen Conns pro User ein; defacto aber pro IP#., ca 25 oder so.
Dann bekam er natürlich einige Proteste von NAT-Usern, ganze Gruppen/Firmen beschwerten sich.
Ich habe auch gelitten, da ich mich mit zwei+ Maschinen/Browsern im Forum getummelt habe.
Dann habe ich diesen Fall genauer untersucht:
1) Das Forum liess viel zu lange die Conns hängen
2) ein "scharfer" Browser fährt halt ein paar mehr Conns
3) ICQ war auch immer dabei, und der Admin hat flasch gezählt.

Aber das eigentliche Thema ist wohl:
- Das Forum will einen Service für/zu ICQ bieten und das
- wohl unabhänig vom Profil-Eintrag

Ich bin damit _nicht_ einverstanden, weil ICQ damit mein Surfverhalten loggen könnte, owohl ich _kein_ ICQ (mehr) habe.
Wer per ICQ erreichbar sein soll/will, muss bitte seinen Client bemühen, und Foren sollten Zugriffe _nicht_ weiterreichen.
Wolf

Zitat

Mcafee Standart Config
Noch nicht an den rulez gespielt!
Icq Nein ganz sicher nicht

Dann wollen wir mal (wohlwollend) annehmen, dass der FW einen Schluckauf hatte.
Wolf

Wolfl

Was sollte das für einen Zweck haben, wenn irgendein Server auf beliebige Rechner einfach auf einen Port connected, auf dem kein Service läuft, und wie Matok25 schreibt, mit der IP des Pocketnavi-Servers?? Nene...

Wenn ich ne http-Verbindung zu einem Server aufbaue, dann mache ich das von zB. loc.Port. 3965 auf remote 80 und der Server antwortet von loc.80 auf remote 3965 aus seiner Sicht. Er kann mir nicht auf einem beliebigen port antworten, denn da wird ihm mein Client nicht zuhören und die FW wird meckern.

Ich habe auch gefragt ob der pocketnavi server auf Unix läuft. Soweit ich sehe läuft er auf Debian.
Da gabs auf snort.org mal nen thread zu unaufgefordert versendeten Syns (konnte den Grund dafür nicht mehr rekonstruieren) auf genau diesen Port 3965. Das könnte ich mir als Ursache auch vorstellen.

lg. Nudnik

ThrobCrop,

ja, inzwischen schliesse ich ICQ aus.

Scheint nicht (mehr) der Fall bei dieser Art von Foren (BB) zu sein.

Uwe hat noch einen anderen Fall per PN berichtet.
Den versuche ich später zu verstehen.

Die Syn-Story (kenne ich nicht im Detail) wäre ev eine Möglichkeit.

Anyway, schönen Sonntag.
Wolf
... Bei mir hat PocketNav noch _nie_ etwas Auffälliges verursacht.

Wolfl

Bei mir hat er sich auch Anständig verhalten
ebenfalls schönen Sonntag noch

Nudnik