Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Protokolleinträge von Firewall Regel "im Auge behalten"

    Deutsch
    3
    3
    62
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • altmetallerA
      altmetaller
      last edited by

      Hallo,

      ich ziehe Domains zu einem neuen Hoster um.

      In meinem Netzwerk gibt es gefühlt dutzende von Geräten, die den SMTP-Smarthost des alten Webhosters benutzen. Dieser residiert unter einer einzelnen IP-Adresse (Load Balancer).

      Ich möchte die Geräte identifizieren und habe eine Firewall-Regel vor den Standard-Outbound-Rules geschoben, welche Datenpakate für diese einzelne IP-Adresse weiterleitet und den Zugriff auf diese IP-Adresse protokolliert. Soweit, so gut.

      Wenn ich in das Log schaue, ist alles fein.

      Mein Problem ist jedoch, dass diese Protokolleinträge in "der großen Masse" untergehen.

      Habe ich eine Möglichkeit, mir diese separat oder exklusiv vor Augen zu führen?

      Fragt sich,
      Jörg

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • V
        viragomann @altmetaller
        last edited by

        @altmetaller
        Hallo,

        das Firewall Log gibt dir doch die Möglichkeit, nach verschiedenen Parametern zu filtern.

        2b2deb8a-0f8d-4ffc-ac01-4d662aebf950-grafik.png

        Da kannst du bspw. Ziel-IP und -Port eintragen, dann bekommst du nur die gewünschten Einträge angezeigt.

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @altmetaller
          last edited by

          @altmetaller Hi Jörg,

          zusätzlich zu dem was Virago schon schreibt, kannst du auch temporär die Masse einfach mal abschalten. Also die Default Deny Rule Logging bspw. - > Status / System Logs / Settings
          Dort einfach mal " Log packets matched from the default block rules in the ruleset " abschalten und ggf. auch die Bogon/Private Logs, dann müsste da auch ganz viel erstmal weg bleiben und du hast eine bessere Change was zu sehen/finden :)

          Du kannst das auch bspw. ohne "Änderung" der Einstufung (Pass/Block) als sehr spezielle Floating Rule erstellen (JA, eine float, das ist genauso so ein Sonderfall 😜 )

          • Floating Rule
          • Outbound - nicht inbound
          • WAN Interface

          damit erwischst du alles was von intern oder der pfSense selbst kommt und auf deine zu loggende IP wollen

          • action: match
          • logging: an
          • quick: an

          Das loggt das ganze ins System Log, macht dank "match" aber nichts weiter als zu loggen, wenn die Regel zutrifft, sonst aber nichts. Die Regel erlaubt oder verbietet also nichts, sondern loggt nur. Erlaubt/Verboten muss sie dann woanders schon sein (meist auf einem der inneren Interfaces weil Internet o.ä.)

          Das kann man dann zum Loggen leicht an/ausschalten.

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.