# XAMPP, ZoneAlarm, Router, DynDNS,....



## Marius Heil (18. Juni 2006)

Hi,

hätte nicht gedacht, dass mir das auch mal passiert, aber ich bin grad etwas ratlos.
Hab Windows komplett neu installiert und nun einfach XAMPP genommen, damit ich nicht soviel Arbeit mit dem einrichten hab.
Läuft alles perfekt.
Nun wollte ich, dass der Apache übers internet erreichbar ist, der läuft standartmäßig auf Port 80.
Den Port hab ich an meinem Router auch freigegeben, ZoneAlarm hab ich mal kurz ausgeschaltet und die IP an nen Freund geschickt. Der hat sie getestet und nix geht,....

Jetzt die Frage, an was könnte das noch liegen?


Marius
----
Ich hab nun rausgefunden, dass wenn ich den Port von Apache auf 8080 änder, und den leuten dann mein e IP-Adresse mit :8080 hintendran angeb funktioniert es,...
Heißt das, dass Port 80 belegt ist?
Würde mich wundern, da es ja ne Windows Neuinstallation ist.


Marius


----------



## Dr Dau (18. Juni 2006)

Hallo!


			
				Marius Heil hat gesagt.:
			
		

> Ich hab nun rausgefunden, dass wenn ich den Port von Apache auf 8080 änder, und den leuten dann mein e IP-Adresse mit :8080 hintendran angeb funktioniert es,...
> Heißt das, dass Port 80 belegt ist?


Sieht fast so aus..... wobei XAMPP dann eigentlich merkern müsste.
Häufig ist der Port 80 schon durch Messenger-Clienten belegt (Port 80 wird als alternativer Port genutzt).
Wenn ich es richtig im Kopf habe, nutzt Skype z.b. auch den Port 80 als alternativen Port per default Einstellung.

Da Du ja nicht geschrieben hast welche Windows Version Du nutzt, mache ich darauf aufmerksam dass z.b. auch der IIS als Dienst laufen könnte.

In ZoneAlarm scheint Apache als Server freigegeben zu sein (mit Port 8080 klappt es ja).

Hört sich so an als wenn Du vorher auch Apache am laufen hattest?!
War dieser denn schon über das Internet erreichbar oder wieso hast Du am Router "rumgeschraubt"?

Gruss Dr Dau


----------



## Dennis Wronka (18. Juni 2006)

Normalerweise sollte es auch moeglich sein am Router anfragen die auf TCP/80 reinkommen zu TCP/8080 an Deinem Rechner umzuleiten. So brauchen andere wie gewohnt nur die IP oder den Hostnamen eingeben aber nicht noch zusaetzlich den Port.


----------



## Dr Dau (18. Juni 2006)

Ja, aber der Satz


> Hab Windows komplett neu installiert und nun einfach XAMPP genommen, damit ich nicht soviel Arbeit mit dem einrichten hab.


lässt mich vermuten dass er vorher Apache & Co. per hand installiert hatte.
Wenn dem so ist und dieser vorher auch über das Internet erreichbar war, braucht er am Router ja nichts zu ändern..... es sei denn sein PC hat nun eine ander IP.
Es könnte nämlich auch sein dass der Router den Port 80 schon selbst benutzt (Remote Zugriff).
Daher meine Fragen. 

DynDNS habe ich bewusst erstmal aussen vor gelassen..... denn über die IP sollte es ja auf jedenfall funktionieren (und den Weg über einen Freund ist er ja auch gegangen).


----------



## Marius Heil (19. Juni 2006)

Ok,
ich kann nun hier verkünden, dass es an ZoneAlarm lag.
Es war mir unmöglich ZoneAlarm so zu konfigurieren, dass alles geht.
Wenn man die Firewall beendet hat und danach wieder an ging der Browser erstmal 10 minuten nciht, währen ICQ,... alles ging.
Ich hatte ZoneAlarm zwar auch mal ausgeschalten, dann hatte sich selbiges aber die Freiheit genommen währenddessen die Windowsfirewall zu aktivieren,...
In ZoneAlarm Free kann man keine Ports freischalten, ich war also gezwungen ZoneAlarm zu deintallieren.
Apache hatte ich bereits früher installiet, da ging auch alles perfekt, hatte den Router nur zum test mal auf 8080 geschaltet, was auch ging, weil ZoneAlarm offenbar nur Port 80 blockiert, Skype oder so hab ich nicht.
Falls mal jemand das gleiche Problem haben sollte und grad keinen Freund verfügbar, kann er es hiermit testen: https://www.grc.com/x/portprobe=80.
Wenn da Open steht, ist alles in Ordnung, auch wenns rot ist  Bei Stealth gibts ein Problem^^
Hab nun ne andere Firewall installiert, mit der geht alles.
Den einkommenden Port an nen anderen weiterleiten unterstützt mein Router gar nicht erst.
Apache war in ZoneAlarm als Server frei, soweit auch richtig.
Fazit: Man installiere kein ZoneAlarm 


Marius


----------



## Dennis Wronka (19. Juni 2006)

Also auf die Aussage dieser Seite kann man sich nicht wirklich verlassen find ich.
Ich hab grad mal ein wenig rumprobiert und egal was ich gemacht hab, bei mir wurde immer Stealth angezeigt.
Folgende Einstellungen hab ich probiert:

Pakete an TCP-Port 80 werden kommentarlos fallen gelassen, ICMP genauso.
Hier ist Stealth okay, da dies nicht das Verhalten eines geschlossenes TCP-Ports ist.
Pakete an TCP-Port 80 werden mit einer ICMP-Meldung abgelehnt, ICMP wird fallen gelassen.
Hier ist Stealth okay, da dies nicht das Verhalten eines geschlossenes TCP-Ports ist.
Pakete an TCP-Port 80 werden mit einem TCP-Reset abgelehnt, ICMP wird fallen gelassen.
Auch wenn ICMP-Pakete einfach fallen gelassen werde sollte hier lediglich angegeben werden, dass der Port zu ist, denn ein TCP-Reset ist das normale Verhalten fuer einen geschlossenen TCP-Port.
Pakete an TCP-Port 80 werden akzeptiert, ICMP wird fallen gelassen, Apache laeuft nicht.
Die Pakete kommen also an TCP-Port 80 an, da Apache nicht laeuft kommt ein TCP-Reset, im Grunde die gleiche Kiste wie vorher, dementsprechend sollte auch hier angezeigt werden, dass der Port einfach nur zu ist.
Pakete an TCP-Port 80 werden akzeptiert, ICMP wird akzeptiert, Apache laeuft nicht.
Im Grunde das gleiche wie oben, nur dass zusaetzlich auch gepingt werden darf. Spaetestens hier sollte man annehmen, dass der Port als geschlossen angezeigt wird und nicht als Stealth.
Pakete an TCP-Port 80 werden akzeptiert, ICMP wird fallen gelassen, Apache laeuft.
Hier spricht nichts dagegen, dass der Port als offen angezeigt wird. Einen Web-Server braucht man schliesslich nicht pingen koennen. Aber natuerlich ist auch hier Fehlanzeige.
Pakete an TCP-Port 80 werden akzeptiert, ICMP wird akzeptiert, Apache laeuft.
Dass hier Stealth angegeben wird ist wirklich erbaermlich, im Grunde wird jetzt das volle Programm zugelassen und es wird trotzdem Stealth angezeigt, obwohl der Port eindeutig offen und erreichbar ist. Sogar pingen kann man meinen Rechner.


----------



## Dr Dau (19. Juni 2006)

> Wenn man die Firewall beendet hat und danach wieder an ging der Browser erstmal 10 minuten nciht, währen ICQ,... alles ging.


Dass ist (warum auch immer) normal..... aber eigentlich installiert man eine Firewall ja auch nicht um sie dann doch nicht zu nutzen. 


> Ich hatte ZoneAlarm zwar auch mal ausgeschalten, dann hatte sich selbiges aber die Freiheit genommen währenddessen die Windowsfirewall zu aktivieren,...


Demnach scheinst Du also XP zu haben (Windowsfirewall)?
Wenn Du die Windowsfirewall über die Dienste deaktiviert hast, dürfte sie eigentlich durch nichts aktiviert werden können.


> In ZoneAlarm Free kann man keine Ports freischalten, ich war also gezwungen ZoneAlarm zu deintallieren.


In ZoneAlarm Pro gibt man auch keine Ports frei......
Man gibt Anwendungen frei..... da Apache ja nicht nur Daten empfangen, sondern auch senden soll..... und dass nicht nur im Intranet, sondern auch im Internet..... gehören bei den Einstellungen 4 grüne Häkchen rein.


> .....und grad keinen Freund verfügbar.....


Dann hat man die falschen Freunde. ^^
Wahre Freunde sollten IMMER für einen da sein. 


> Den einkommenden Port an nen anderen weiterleiten unterstützt mein Router gar nicht erst.


Ups, was ist dass denn für ein Router?


> Apache war in ZoneAlarm als Server frei, soweit auch richtig.


Vielleicht doch nicht so richtig?


> Fazit: Man installiere kein ZoneAlarm


Fazit: Ich habe keine Probleme mit ZoneAlarm..... nicht ohne grund nutze ich ZoneAlarm schon seit Windows 95.


----------



## Dennis Wronka (19. Juni 2006)

Dr Dau hat gesagt.:
			
		

> Dass ist (warum auch immer) normal..... aber eigentlich installiert man eine Firewall ja auch nicht um sie dann doch nicht zu nutzen.


Ja, ist schon irgendwo albern. Aber gluecklicherweise haben ja heutzutage viele User einen Router, der so eine Firewall fast ueberfluessig macht.


			
				Dr Dau hat gesagt.:
			
		

> Man gibt Anwendungen frei.....


Da werd ich mich irgendwie nie dran gewoehnen koennen, denn wer sagt denn, dass nicht vielleicht mit boesen Paketen gerade diese Anwendung torpediert wird?
Es waere ja schon nett wenn man irgendwie noch etwas mehr Kontrolle haette. Zum Beispiel, dass man selbst vor den ganzen Programmen die Verkehr haben duerfen (  ) erstmal noch alles was man kategorisch nicht will, aussperrt. Da wird zwar sicher so einiges auch automatisch gemacht, aber trotzdem waere da halt was mehr Kontrolle nett.
Die Outpost die ich ja unter Windows drauf hab geht zwar den gleichen Weg, aber wenn es mal sowas wie IPTables fuer Windows gibt bin ich wahrscheinlich sofort dabei. 


			
				Dr Dau hat gesagt.:
			
		

> da Apache ja nicht nur Daten empfangen, sondern auch senden soll..... und dass nicht nur im Intranet, sondern auch im Internet..... gehören bei den Einstellungen 4 grüne Häkchen rein.


Ja, so eine Firewall moechte schon ordentlich konfiguriert sein, sonst kann man sie auch gleich weglassen da sie entweder nichts bringt oder eben nur Probleme. 


			
				Dr Dau hat gesagt.:
			
		

> Fazit: Ich habe keine Probleme mit ZoneAlarm..... nicht ohne grund nutze ich ZoneAlarm schon seit Windows 95.


Fazit: Ich hab keine Probleme mit IPTables, daher nutze ich es auch bereits seit Kernel 2.4. 

So, das musste einfach mal raus.


----------



## Marius Heil (19. Juni 2006)

Also da werd ich doch glatt auch nochmal meinen Senf dazugeben:



> Dass ist (warum auch immer) normal..... aber eigentlich installiert man eine Firewall ja auch nicht um sie dann doch nicht zu nutzen.


Naja, es gibt immer ein paar kleine Problemchen mit Firewalls, welche sich nicht durch Portfreigaben usw lösen lassen, da schaltet man sie schnell aus und gut ist, aber wenn man danach 10 min warten muss macht das ganze keinen Spass mehr  (Ist übrigens auch nur bei ZoneAlarm und Port 80 der Fall,,....)


> Wenn Du die Windowsfirewall über die Dienste deaktiviert hast, dürfte sie eigentlich durch nichts aktiviert werden können.


Naja, Offenbar hat ZoneAlarm Spass daran, an der aktivierung der Windowsfirewall mitzuwirken 


> In ZoneAlarm Pro gibt man auch keine Ports frei......
> Man gibt Anwendungen frei..... da Apache ja nicht nur Daten empfangen, sondern auch senden soll..... und dass nicht nur im Intranet, sondern auch im Internet..... gehören bei den Einstellungen 4 grüne Häkchen rein.


Das war die Exakte Einstellung die der Apache bekommen hat, klar, für normale user sehr einfach zu bedienen aber hinterher dann doch ein wenig schwachsinnig. Nicht mal funktioniert hat es,... Aber ein wenig mehr Kontrolle über die Einstellungen hätte ich doch gerne (Muss wohl auch der Grund sein, warum die Pro Version das unterstützt  )


> Wahre Freunde sollten IMMER für einen da sein.


 auch gut 


> Ups, was ist dass denn für ein Router?


Ein Originalrouter der deutschen Telekom AG, der kostenlos bei DSL dabei war 
(Zumindest funktioniert er ganz gut )


> Fazit: Ich habe keine Probleme mit ZoneAlarm..... nicht ohne grund nutze ich ZoneAlarm schon seit Windows 95.


Wow, hast du Glück gehabt, ich habs zumersten mal installiert und nur Probleme gehabt^^ Ist ein wenig zu bunt und mir kams immer so wie ne typische shareware vor. Die Viecher werden alle fast mit ein und demselben Installer installiert, haben meistens zig Macken, man bekommt sie nicht mehr gescheit vom System runter, ein überdimensioniertes Design und man fragt sich wie die Firma da auch nur ein Produkt von verkaufen kann^^
Naja, nur ein persönliches Gefühl^^


Marius


----------



## Dr Dau (19. Juni 2006)

Dennis Wronka hat gesagt.:
			
		

> Aber gluecklicherweise haben ja heutzutage viele User einen Router, der so eine Firewall fast ueberfluessig macht.


Ich brauche meine Firewall ja auch nur noch für das, was meinen PC verlassen will. 


			
				Dennis Wronka hat gesagt.:
			
		

> Da werd ich mich irgendwie nie dran gewoehnen koennen, denn wer sagt denn, dass nicht vielleicht mit boesen Paketen gerade diese Anwendung torpediert wird?


Stimmt, nur wenn man Apache nicht frei gibt, dann kann Apache auch keine Daten nach draussen senden.
Da bleibt einem also wohl nichts anderes übrig als mögliche Sicherheitslöcher zu stopfen.
Meine Antivirensoftware z.b. habe ich nicht frei gegeben..... wenn die ein Update durchführen will, fragt mich ZoneAlarm ob ich ihr den Zugriff auf das Internet erlauben will (ist ja nur alle 8 Stunden). 


			
				Dennis Wronka hat gesagt.:
			
		

> Zum Beispiel, dass man selbst vor den ganzen Programmen die Verkehr haben duerfen (  ) erstmal noch alles was man kategorisch nicht will, aussperrt. Da wird zwar sicher so einiges auch automatisch gemacht, aber trotzdem waere da halt was mehr Kontrolle nett.


Macht ZoneAlarm ja (Lernmodus), bei jeder Anwendung fragt ZoneAlarm dann was passieren soll wenn die Anwendung raus will.
Und wer ganz viel Angst hat, kann ja auch sämtliche Anwendungen bei ZoneAlarm eintragen und (dauerhaft) sperren..... viel Spass bei dieser Arbeit. ^^


			
				Dennis Wronka hat gesagt.:
			
		

> .....aber wenn es mal sowas wie IPTables fuer Windows gibt bin ich wahrscheinlich sofort dabei.


Meinst Du z.b. sowas?


			
				Dennis Wronka hat gesagt.:
			
		

> Fazit: Ich hab keine Probleme mit IPTables, daher nutze ich es auch bereits seit Kernel 2.4.


Fazit: Unter Windows macht der 2.4er Kernel (aus unerklärlichen Gründen  ) Probleme. ^^

//edit

Klar, wenn Probleme auftauchen kann man die Firewall kurz mal abschalten.
So weiss man jedenfalls auf recht einfach Art ob die Firewall schuld ist oder ob man an ganz anderer Stelle suchen muss.
Dass ZoneAlarm aber nach dem wieder einschalten Probleme macht, war halt schon immer so..... dass meinte ich mit "normal". 

Warum ZoneAlarm die Windowsfirewall aktiviert, kann ich nicht nachvollziehen..... ich habe Windows 2000 (und da ist keine Firewall integriert). 

Wie gesagt, ZoneAlarm hat diese Probleme bei mir nicht gemacht..... auch nicht mit Apache unter Windows 95.
Evtl. hat sich da etwas in den Versionen (bei mir 4.5) geändert?!

Die DeTeAG ist nur der Vertreiber der Router..... der Hersteller ist ein anderer (z.b. Siemens, Allnet usw.).
Mir ist aber noch kein Router untergekommen, wo man die Ports nicht weiterleiten könnte..... daher bin ich schon erstaunt dass es bei Dir nicht möglich sein soll.

Ich habe zu Anfang auch genug Probleme mit ZoneAlarm gehabt.
Damals war es noch eine englische Version..... und ich kann praktisch kein Englisch. 
Auf jedenfall hat die Free Version so einige Einschränkungen..... sonst würde die Pro Version ja auch keinen Sinn machen. 
Klar ist ZoneAlarm bunt..... aber im Vergleich zu XP (in den Grundeinstellungen) ist dass ja noch garnichts. ^^
Und zum Installer, Design etc., da frage ich mich auch immer wieder wie eine nicht näher genannte Firma (Microsoft  ) solche Produkte verkaufen kann.


----------



## Marius Heil (19. Juni 2006)

Hi,

zum Installer: Naja, wusste ncih merh, welchen ZoneAlarm benutzt, aber die meisten Installer der ganzen Sharewarheprogramme sind exakt gleich aufgebaut,k Lizenzbedingungen, wollen sie dieses Programm danach starten,...
Man sieht meistens schon am Installer, dass das Produkt nix taugt 
Naja, ich meinte bei meinem Router nicht, dass er keine Ports weiterleiten würde, den hätt ich sofort wieder weggeschmissen^^
Nein, er kann nur die Eingangsports nicht an anderen Ports im Netzwerk weiterleiten.


Marius


----------



## Dr Dau (19. Juni 2006)

Naja, kaum einer baut seinen eigenen Installer..... da wird lieber auf fertige Installer von z.b. InstallShild, Wise, Nullsoft usw. zurückgegriffen.
Da ist es natürlich nicht verwunderlich dass man oft den gleichen Installer zu Gesicht bekommt. 

Hmm, komischen Router hast Du da.


----------



## Dennis Wronka (20. Juni 2006)

Dr Dau hat gesagt.:
			
		

> Macht ZoneAlarm ja (Lernmodus), bei jeder Anwendung fragt ZoneAlarm dann was passieren soll wenn die Anwendung raus will.


Den Lernmodus hat ja die Outpost auch, ich denk auch Kerio und sowas bringen sowas mit.
Und man kann ja auch z.B. einstellen, dass Programm XY nur auf Port 80 zugreifen darf.
In sofern ist die Kontrolle schon genauer als das was IPTables bietet, jedoch ist das meiner Meinung nach unnoetig, denn was von drinnen nach draussen geht sollte vom User veranlasst sein, und wenn man sich schon boese Software eingefangen hat, dann wird diese sicher auch einen Weg um die Firewall finden.
Mir geht es in erster Linie darum vor boesen Paketen geschuetzt zu sein die von draussen rein wollen. Ich lass ja zuhause auch nicht jeden rein, aber wer in meiner Bude hockt darf auch gern mal rausgehen um Fritten und Bier zu holen.
Ich haette einfach nur gern Kontrolle darueber was ueberhaupt erst garnicht reinkommen darf, selbst wenn es fuer bestimmte Programme zugelassenem Traffic entspricht.
Auch hab ich keine Einstellung finden koennen wo ich angeben kann wie Pakete abgewiesen werden.
Ich werd mir hier auf der Arbeit glaub ich nochmal die Outpost installieren und dann mal was rumscannen um zu gucken.


			
				Dr Dau hat gesagt.:
			
		

> Und wer ganz viel Angst hat, kann ja auch sämtliche Anwendungen bei ZoneAlarm eintragen und (dauerhaft) sperren..... viel Spass bei dieser Arbeit. ^^


Naja, das ist doch etwas uebertrieben. Ich hab ja bei der Outpost auch erstmal den Lernmodus genutzt und dann auf "mach dicht" gestellt sodass wirklich nur das was dort eingetragen ist auch darf.


			
				Dr Dau hat gesagt.:
			
		

> Meinst Du z.b. sowas?


Mal anschauen. 


			
				Dr Dau hat gesagt.:
			
		

> Fazit: Unter Windows macht der 2.4er Kernel (aus unerklärlichen Gründen  ) Probleme. ^^


Und was ist mit 2.6?


----------



## Dr Dau (20. Juni 2006)

Naja, mir geht es in erster Linie auch darum was rein will..... und dafür langt ein Router ja eigentlich schon.
So eine Desktop Firewall hat aber auch was..... ist schon interessant zu sehen was so alles nach draussen will..... obwohl gar keine Veranlassung dazu besteht. 
Und mit "böser Software" habe ich keine Probleme..... es sei denn ich lege es zwecks Selbstversuche bewusst darauf an. 

Was die Kontrolle angeht, ein Blick ins Logfile vom Router lässt mich da schon ruhiger schlafen. 

Der 2.6er Kernel?
Hmm, soweit ich weiss soll er erst mit Windows 2050 (Codename: game over) laufen. ^^


----------

