TCP:RA TCP:PA im Logfile
-
Hallo alle zusammen,
ich hab mir mal wieder unser Firewall-Log angesehen, das sieht aktuell so aus (mehr im Screenshoot):
blockiert werden also immer Pakete vom internen LAN zum Zentralen Proxy. Wobei ausgehen aus dem internen Lan eine . - also alles ist Erlaubt Regel
gesetzt ist. Wie bekomme ich das aus dem Log? Ich habe schon einiges probiert, finde aber keinen Lösung.Jun 2 13:32:47 LAN 192.168.1.112:53436 10.100.1.127:8080 TCP:RA
Jun 2 13:32:47 LAN 192.168.1.112:53436 10.100.1.127:8080 TCP:PA
Jun 2 13:21:53 LAN 192.168.1.50:1519 10.100.1.127:8080 TCP:RA
Jun 2 13:21:53 LAN 192.168.1.50:1519 10.100.1.127:8080 TCP:PA
Jun 2 13:21:53 LAN 192.168.1.50:1786 10.100.1.127:8080 TCP:RA
Jun 2 13:21:53 LAN 192.168.1.50:1786 10.100.1.127:8080 TCP:PA
Jun 2 12:49:51 LAN 192.168.1.112:52936 10.100.1.127:8080 TCP:RAGruß
Thomas Süß
-
Wie bekomme ich das aus dem Log? Ich habe schon einiges probiert, finde aber keinen Lösung.
In den Log-Settings den Haken bei "Log packets matched from the default block rules in the ruleset" entfernen.
Sollte es nur für dieses Interface sein, lege auf diesem eine eigene Block-All Regel am unteren Ende an und deaktiviere darin das Logging.
-
"Sollte es nur für dieses Interface sein, lege auf diesem eine eigene Block-All Regel am unteren Ende an und deaktiviere darin das Logging."
Danke - das sieht gut aus…...
Gruß
Thomas -
Auch wenn das so ein bisschen die Holzhammermethode ist - ich möchte ja alles andere sehen was aus dem LAN geblockt wird - 8), gibt es die Möglichkeit das anhand der TCP Flags zu blocken ? Irgendwie verstehe ich nicht was pfSense da unter Advanced meint….
Hat noch jemand eine Idee dazu?
Gruß
Thomas -
Normalerweise sollten diese Pakete aber nicht verworfen werden.
Versuch mal die pfSense in System -> Advanced -> Firewall & NAT
Die Option "Firewall Optimization Options" auf "Conservative" zu stellen.
Somit versucht die PFSense zu verhindern legitime Verbindungen zu "droppen".
Braucht aber etwas mehr RAM und CPU auf der pfSense. -
@:Sash:
das habe ich schon gemacht, bewirkt aber keine Änderung…..
Ich bin jetzt 14 Tage im Urlaub, danach mache ich mal einen Netzplan, vielleicht hilft das beim verstehen weiter.Gruß
Thomas -
Das sind ACK-Pakete, siehe Flag, also out-of-state, die werden immer verworfen, daher fallen sie auch unter die Default-Deny Regel.
Sollte es Probleme mit der Kommunikation aufgrund der verworfenen Pakete geben, ist der Fehler anderswo zu suchen. Meist liegt es an einem asymmetrischen Routing, heißt die SYN-Pakte nehmen den einen Weg, Antwort-Pakete einen anderen, infolge hat die pfSense keinen State für die Antwort-Pakte und verwirft sie.
Siehe: https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection
https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_RulesAber um das zu klären, wären ein paar mehr Informationen erforderlich.
-
das kann gut sein, der gesammte Internetverkehr geht über einen Proxy-Cluster, dieser hat als Cluster IP die 10.100.1.127 - dahinter stehen mehrere einzelne Appliances. Bei hoher Last passiert es dann das nicht die 10.100.1.127 die Anfrage beantwortet sondern eine der dahinterstehenden Adressen… dies ist natürlich unschön.
Gruß
Thomas -
Zu deinem Proxy-Cluster kann ich nichts sagen. Nach meinem Dafürhalten sollte ein Cluster eine gemeinsame IP haben, aber ich denke es wird einen Grund haben, weswegen das bei dir nicht so ist.
Wenn die Pakete durch die Firewall gehen sollen, kannst du es mit einer Pass-Firewall-Regel am LAN Interface versuchen, die die Flags nicht berücksichtigt. In der Regel die Advanced Options anzeigen und bei TCP Flags unter "out of" die zu löschenden Flags anhaken. Damit habe ich allerdings noch keine Erfahrung gesammelt.
Grüße
-
Ich habe mal hier einen Link gefunden:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html
Dieser Teil hat mir geholfen :)
Automatic Fix
The Bypass firewall rules for traffic on the same interface option located under System > Advanced on the Firewall & NAT tab activates rules for traffic to/from the static route networks which are much more permissive when it comes to creating states for TCP traffic and allowing it to pass. The rules allow any TCP packets regardless of their flags to create a state, and also utilize “Sloppy” state tracking which performs a less strict state match.