SPI i router blockerar trafik

[mac-art]

Hej!

 

Har ett problem som d-link supporten inte kommer vidare med, försöker här istället.

 

När SPI (stateful packet inspection) aktiveras i min router d-link 524, kommer jag inte ut på nätet från macen, den bärbara windows xp home datorn har inga problem, fungerar klockrent. När datorn inte används är den avstängd och routern också.

 

Har prövat att använda manuella ip adresser, DHCP, slå av och på mac-filter, ping av och på, stänga av firewallen i macen, reseta routern och börja om från början med alla inställningar, en i taget (så upptäckta jag att SPI är orsaken) men inget hjälper.

 

På macen är os x firewall på + att jag använder little snitch 2.0.2 (av och på spelar ingen roll samma problem).

 

D-link säger att vissa kan ha problem med SPI, medan andra inte har det, deras lösning är att slå av SPI - vilket jag inte vill.

 

Min lösning just nu är att varje gång macen och routern startas att logga in på routern (admin eller user), växla vy, från t.ex. home till tools och logga ut, sedan går det att surfa och läsa epost.

 

Någon som har samma problem?

 

Konfigurationer:

Mac G4, osx 10.4.11, security update 2008-005

SiemensFujitsu laptop, Windows XP Home, Service Pack3, firewall Zone Alarm 7.0.483.000

D-link router 524, firmware 2.07

 

Kom på en sak jag inte testat, se om datorerna ser varandra utan att jag vill surf, fildelning över det lokala nätverket. Testas senare i veckan, jag återkommer.

 

Hälsningar

mac-art

[Mizhou]

Det verkar lite overkill att ha en router med SPI, samt Mac OS X's egna brandvägg + Little Snitch igång.

Att en router med SPI blockerar trafik är ju fullt normalt, och visar ju att den fungerar som den ska.

Om du absolut vill ha den brandväggen igång, så måste du öppna och forwarda vissa portar till din Mac, beroende på vad du vill göra.

 

Eftersom du kör Windows, och allt fungerar där, så funderar jag på om du inte har aktiverat DMZ (De-Militarized Zone), vilket innebär att den skickar allt vidare till Windows-datorn, utan att det passerar brandväggen, och då är ju dyftet med brandväggen borta. Du kan alltså lika gärna stänga av den, då du redan har Little Snitch på Macen dessutom.

 

Mitt förslag är att du stänger av den inbyggda brandväggen i Mac OS X, och kör bara Little Snitch där, om du nu behöver ha någon brandvägg igång överhuvudtaget. Sedan stänger du av brandväggen i routern, men se till att du har brandväggen igång på Windows-datorn.

[mac-art]

Mizhou - DMZ är inte igång i routern. Brandväggen i routern stängs inte av, däremot kan brandväggen i macen stängas av, görs strax.

 

Fundrar på att pröva port forwarding till mac, men underligt att det ska behövas, när windows klarar sig utan. Ja, ja datorers små underligheter.

 

Prövade hur mac<->windows fildening fungerar och datorerna ser inte varandra utan vidare, med sökning och angivning av ip-adress kan de mountas på respektive skrivbord. Återkommer kanske till detta i en annan tråd efter att ha sökt här i forumet.

[Mizhou]

Då är det nog så att din router har stöd för Microsofts proprietära protokoll UPnP (Universal Plug'n'Play). Det innebär att när en applikation startas i Windows, så kommer den själv att tala om för routern vilka portar den behöver, och så öppnas de, för att sedan stängas när programmet avslutas.

 

Tyvärr är UPnP ingen riktig standard, då den bara används av MS och de som betalt dyra licenspengar till MS för att få använda denna teknik.

 

Apple kör med NAT-PMP (Network Address Translation - Port Mapping Protocol) som är en motsvarighet till UPnP, och som är på väg att bli standardiserad. Alla Apple routrar stödjer NAT-PMP, och det kan finnas andra märken som också gör det, men jag vet inga på rak arm.

 

Däremot finns vissa program för Mac OS X, som har stöd för UPnP, som t.ex vissa torrentprogram.

Du får kolla runt i inställningarna för programmen och se om de har stöd för det eller inte.

[mac-art]

Ahhh... så om jag stänger av UPnP i routern så borde windows maskinen ha likadana svårigheter att få kontakt med internet som macen har. Ska testas efter dagen ärenden.

[mac-art]

hmm... att stänga av UPnP i routern hade ingen verkan på windows, allt fungerade fint. La till portar i router firewallen, startade macen och den kom ut på nätet men hackade, sidor öppnades inte snabbt nog eller inte alls. Loggade in och ut på routern och nu var hastigheten där.

 

Läste om SPI på wikipedia och om jag förstod det rätt så kontrollerar SPI först en utgående fråga (port/ip adress), när sedan det ingående svaret kommer kollas att det går till rätt port/ip adress, om inte blockeras den. En utomstående kan inte komma in utan att en förfrågan inifrån LAN har kommit. Fungerar dynamiskt och öppning utav portar i firewallen borde inte behövas. Kanske har jag missat något.

 

Förstår inte riktigt varför det fungerar under windows xp men inte under mac os x. Tycker allt är inställt som det borde vara, men uppenbarligen missa jag något väsentligt.

 

Försöker ladda upp en bild på standard firewall inställningen men det verkar inte gå, så här ser texten ut (">" = tab):

På/av > Action Name > Source > Destination > Protocol

På > Allow Ping WAN port > WAN,* > WAN,* > ICMP,* (egen kommentar: Ping tillåtet från WAN)

På > Deny Default > *,* > LAN,* > *,* (egen kommentar: Inga utom stående anropp tillåtna)

På > Allow Default > LAN,* > *,* > *,* (egen kommentar: LAN har alla rättigeter till kontakt)

Dessa tre regler går inte att påverkar sedan (minst) firmware 2.06.

 

Känns som om antingen Apple eller d-link inte följer standarder som de ska (jag blir så trött när tillverkare kokar sin egen soppa med egna special kryddor, jag vill ha samma smak oavsett var jag äter soppan).