Klote firewalls!

Herbert Blankesteijn

Een virusscanner en een firewall zijn onmisbaar; dat vind ik al een paar jaar. Geen pc komt op mijn netwerk zonder dat hij eerst is gebarricadeerd. Maar waar een virusscanner altijd zacht zoemend op de achtergrond zijn werk doet (met nu en dan de melding van een vangst, zodat je zeker weet dat hij nog actief en alert is) heb ik met firewalls altijd gelazer. Wat dat betreft passen ze in het rijtje van eeuwige lastpakken, waar ik ook cd- en dvd-branders plaats [071 020319 Cd's branden.doc] en de meeste vormen van computervideo [144 030826 Sukkelen met video op de pc.doc].

Het rare is, dat geen enkele firewall moeilijk doet over internet. Ze maken juist een probleem van het lokale netwerk, het gedeelte waar zeker geen gevaar loert. Ik moet zeggen dat ik me van mijn eerste firewall, ZoneAlarm 2.1 of zo, geen kuren herinner. Maar dat was dan ook onder Windows 98. Met de komst van Windows XP is het misgegaan.

Lange tijd heb ik de schuld van mijn netwerkproblemen gegeven aan Windows XP. Dat was op zijn minst voor een deel ten onrechte en ik maak hierbij mijn excuses, op zijn minst voor een deel, aan Microsoft. De firewalls dragen, op zijn minst voor een deel, de schuld. Nog een kanttekening: ik zet altijd de ingebouwde firewall van XP uit. Die is niet goed genoeg, want houdt geen verkeer van binnen naar buiten in de gaten, en twee firewalls op één systeem is zoiets als twee kapiteins op één schip.

Het eerste probleem was dat ZoneAlarm onder XP ongeveer een minuut nodig had om op te starten. Een minuut lang een zandloper en al die tijd kon ik niks doen. Het was de eerste 'voor XP geschikte' versie, nummer 2.6, maar met dit euvel vond ik het vooral een óngeschikte versie.

Ik koos voor Sygate en kreeg de boel weer aan het werk, ook onder XP. Sindsdien gaat altijd, maar dan ook altijd de boel op zijn gezicht als ik iets verander aan mijn netwerk. Bijvoorbeeld toen ik een paar usb-adapters installeerde voor netwerkverkeer via het lichtnet [http://www.nrc.nl/internet/artikel/1063097867758.html]. En toen ik overstapte op adsl via een multi-pc-modem (een adsl-modem annex router). Telkens als ik iets toevoegde of veranderde, raakte het lokale netwerk geheel of gedeeltelijk zoek. De ene keer raadde een helpdesk me aan vaste ip-nummers op mijn netwerk te installeren; de andere keer moest ik juist de regerende dhcp-server ip-nummers laten toekennen. Het was altijd wat en nooit hetzelfde.

Die lichtnetadapters hebben nooit gewerkt met een firewall. Zonder wel. Toen onder de multi-pc-modem het lokale netwerk niet wilde functioneren (wel zonder, maar niet met de firewall van dat moment, inmiddels Outpost) heb ik weer gekozen voor ZoneAlarm. Inmiddels wist ik in vier verschillende firewalls waar ik de vertrouwde ip-nummers moest invullen om het lokale netwerk te laten werken. Maar om te zeggen dat dat altijd hielp - nee.

Onder de laatste versie van ZoneAlarm, 3.7, doet mijn lokale netwerk het voor de verandering wél. Het zandloperprobleem bij opstarten is verholpen. Maar ZoneAlarm 3.7 heeft bij mij een andere idiote bijwerking: als je met de rechtermuisknop klikt op een map in Verkenner en kiest voor Eigenschappen, gebeurt er niets. De inhoud in MB's van een map opvragen is niet meer mogelijk. Deïnstalleer ik ZoneAlarm, dan werkt dit weer wel.

Laatst heb ik een VoiceFinder op mijn netwerk aangesloten, een apparaatje om met een gewoon telefoontoestel te kunnen bellen via internet [www.pilmo.com]. Dat ding moet je configureren vanuit je pc. Het heeft een eigen ip-nummer dat duidelijk in de handleiding staat. Ingevuld in ZoneAlarm, wat denk je: niks. Pas na het uitzetten van de firewall kon ik erbij. Toen wist ik het absoluut zeker: firewalls zijn klote, zwaar klote. Allemaal.

Kom jongens, het kan toch niet zo moeilijk zijn een firewall te maken die zelf het lokale netwerk detecteert en ten overvloede even vraagt: zijn déze machines met díe ip-nummers OK? Dat zie ik dan graag in de volgende kloteversie.