externe mDNS Request nach Update auf 2.6.0

scxma

Hallo zusammen,

hat jemand die gleichen Probleme, dass mDNS Request auf Port 5353/UDP extern versendet werden?
Hetzner sperrte mir zum 2. Mal nun meine IP der Firewall.

Hat jemand eine Idee, wie ich das blockieren kann, außer dem das Gateway wegzuziehen?

Grüße
scxma

viragomann

@scxma
Hallo,

blockieren kannst du es mit einer Firewall-Regel natürlich.
Am besten eine Floating mit Quick für Direction out und als Ziel würde ich einen Alias mit sämtlichen Multicast-Adressen nehmen. Oder eben auch any und nur diesen speziellen Zielport angeben.

Allerdings würde ich mich fragen, warum die Pakete nach draußen gehen.
Das setzt doch ein Relay wie das Avahi Package voraus und eine Konfiguration, die die mDNS Pakete gezielt zum WAN rausschickt.
Hast du irgendetwas in dieser Richtung installiert?

Grüße

scxma

@viragomann

Ich hatte zuerst versucht, auf allen Interfaces (bis auf Floating) die Regel zu machen, dass 5353/UDP geblockt wird. Im Log steht aber, dass die Pakete aufgrund der Regel " let out anything from firewall host itself" durchgegangen sind. Ich habe jetzt mal die Floating-Regel angelegt und diese scheint zu greifen.

Ich habe keiner dieser Pakete installiert bzw. keine Regeln oder Einstellungen dahingehend getroffen (finde nicht mal so eine Konfigurationsmöglichkeit). Ich hatte lediglich das Update von 2.5.2 auf 2.6.0 gemacht und seitdem diese Probleme.

viragomann

@scxma said in externe mDNS Request nach Update auf 2.6.0:

Im Log steht aber, dass die Pakete aufgrund der Regel " let out anything from firewall host itself" durchgegangen sind.

Ach so, das kommt von pfSense selbst. Kann ich mir absolut nicht erklären. Vielleicht hat jemand anders eine Idee, was das soll.
Mein privates 2.6.0 Experiment hatte ich vor einer Woche wieder beendet.

NOCling

Könnte es etwas mit dem Patch bezüglich UPnP zu tun haben?
Hast du das Patch 2.x Paket schon installiert, da werden jetzt wichtige direkt angeboten.

scxma

@nocling said in externe mDNS Request nach Update auf 2.6.0:

Könnte es etwas mit dem Patch bezüglich UPnP zu tun haben?
Hast du das Patch 2.x Paket schon installiert, da werden jetzt wichtige direkt angeboten.

UPnP etc. ist deaktivert. Wie wo welchen Patch genau meinst du?

Ich habe jetzt sogar Netscans von der Firewall auf andere Ports. Kann es sein, dass meine Firewall während des Updates kompromittiert wurde? Ich bekomme jetzt die Meldung von Hetzner, dass Scans auf Port 22/TCP und 80/TCP laufen, direkt von der Firewall selbst aus. Die entsprechenden Logeinträge sehe ich auch. Kommt direkt von der WAN Adresse der FW auf random Ziele.

Der Zugriff von extern (WAN) auf die Firewall ist nicht möglich.

NOCling

Eine saubere pfSense Installation macht so was nicht!

Wenn es von der WAN IP der Sense ausgeht, kann es auch ein System dahinter sein was per NAT auf die WAN IP der Sense umgesetzt wird.

viragomann

@scxma said in externe mDNS Request nach Update auf 2.6.0:

Ich habe jetzt sogar Netscans von der Firewall auf andere Ports. Kann es sein, dass meine Firewall während des Updates kompromittiert wurde?

Kann ich mir, ehrlich gesagt, schwer vorstellen.
Dennoch hätte mich die Ratlosigkeit an deiner Stelle schon zu einer Neuinstallation bewegt. Das Ganze sieht doch sehr suspekt aus.

@nocling said in externe mDNS Request nach Update auf 2.6.0:

Wenn es von der WAN IP der Sense ausgeht, kann es auch ein System dahinter sein was per NAT auf die WAN IP der Sense umgesetzt wird.

Das passt jedenfalls für die mDNS Pakete nicht zu dem Log Eintrag "let out anything from firewall host itself".

@scxma
Zumindest Port 22 könntest du ja noch blockieren, wenn du weiter forschen möchtest, und überprüfen, ob hier ebenfalls die Firewall selbst die Quelle ist.
Eine Erklärung für dieses Phänomen fällt mir aber nicht ein.