[gelöst] Firewall Eintrag
-
Hallo zusammen,
die FW-Log zeigt für mich eine unverständlichen Serie von Einträgen:
block Feb 22 12:31:23 WAN xxx.xxx.xxx.xxx:51453 81.19.149.69:993 TCP:RAxxx.xxx.xxx.xxx = meine vom WAN-IP.
Von diesen Einträgen habe ich jede Menge, wobei der Port, der bei meiner IP steht immer unterschiedlich ist.
Die zweite IP ist die meines Mail Servers.
Was wird da geblockt und warum? Ich kann Mails ohne Probleme senden und empfangen!
Der zweite Eintrag lautet:
block Feb 22 12:36:49 em5 10.0.0.138:138 10.0.0.255:138 UDPAn em5 hängt das Modem, d. h. mein WAN, mein LAN hat den Adressbereich 10.0.0.0/24. Die IP 10.0.0.138 kann ich im Netz nicht finden - könnte das vom Modem kommen?
Was will dieser Eintrag?
Danke Euch vorab.
LG
esquire1968 -
die FW-Log zeigt für mich eine unverständlichen Serie von Einträgen:
block Feb 22 12:31:23 WAN xxx.xxx.xxx.xxx:51453 81.19.149.69:993 TCP:RAxxx.xxx.xxx.xxx = meine vom WAN-IP.
Von diesen Einträgen habe ich jede Menge, wobei der Port, der bei meiner IP steht immer unterschiedlich ist.
Die zweite IP ist die meines Mail Servers.
Was wird da geblockt und warum? Ich kann Mails ohne Probleme senden und empfangen!
Das ist harmlos.
Dein Rechner sendet ein Paket innerhalb einer Verbindung, die auf der Firewall aber nicht mehr besteht (kein state mehr vorhanden). Da die Firewall die Verbindung nicht mehr kennt, blockt sie das Paket und loggt entsprechend.
Das könnte z.B. passieren, wenn Dein Rechner im Standby war und nach dem Wiederaufwachen noch Verbindungen kennt. Die Firewall hat wegen Timeout die Verbindung mittlerweile bereits ohnehin gelöscht.
Manche Firewalls loggen sowas erst gar nicht.
-flo-
-
block Feb 22 12:36:49 em5 10.0.0.138:138 10.0.0.255:138 UDPAn em5 hängt das Modem, d. h. mein WAN, mein LAN hat den Adressbereich 10.0.0.0/24. Die IP 10.0.0.138 kann ich im Netz nicht finden - könnte das vom Modem kommen?
Was will dieser Eintrag?
Die 10.0.0.138 wird wie Du vermutest wohl vom Modem verwendet. Der Port 138 entspricht dem NetBIOS Datagram service. Die Zieladresse 10.0.0.255 ist die Broadcast-Adresse im 10.0.0.0/24-Netzwerk. Diesen Traffic willst Du vom Modem sicher nicht haben. Wenn das Modem ein reines Modem ist, dann sollte es sowas auch nicht verschicken. Du kannst das in der Firewall m.E. sicher blockieren.
Ich habe von meinem Modem (ein Allnet-Modell) auch unerwünschte Pakete, in meinem Fall sind es UPnP-Broadcasts. Die filtere ich ebenfalls über die Firewall heraus.
-flo-
-
Hallo!
Der zweite Eintrag lautet:
block Feb 22 12:36:49 em5 10.0.0.138:138 10.0.0.255:138 UDPAn em5 hängt das Modem, d. h. mein WAN, mein LAN hat den Adressbereich 10.0.0.0/24. Die IP 10.0.0.138 kann ich im Netz nicht finden - könnte das vom Modem kommen?
Wenn du ein Modem über PPTP verwendest, ist es nicht sehr geschickt, den Adressbereich 10.0.0.0/24 an einem anderen Interface einzurichten. Denn 10.0.0.138 verwendet das Modem, 10.0.0.140 das WAN-Gateway, und die fallen da beide rein.
Ich würde das LAN Netz ändern oder zumindest auf ein /25 zu schmälern.
Grüße
-
Danke für Eure Antworten!!! Hat mich schon beruhigt! ;D
Ich verwende das Modem über PPPoE! Soll ich den Trafic blockieren?
lg
esquire1968 -
Ich empfehle das zu blockieren, schon um das Unwichtige im Log auszublenden. Das erleichtert den Blick auf relevante Ereignisse.
Besser wäre es, Du könntest das im Modem deaktivieren. Aber das würde ich nicht so viel Zeit darauf verschwenden.
-flo-
-
Seltsam ist dieser Eintrag trotzdem:
block Feb 23 21:45:43 [b]em5[/b] 10.0.0.138:138 10.0.0.255:138 UDPem5 ist kein Interface sondern ein Netzwerkport der dem Interface WAN zugeordnet ist.
Ich kann ihn daher auch nicht blocken, da es das Interface "em5" nicht gibt.
LG
esquire1968
-
Doch könntest du. Mit einer floating Regel bspw. oder wenn du das Interface em5 tatsächlich irgendwo reinbindest (weniger schön). Da die Firewall meist der Punkt ist, an dem solche Dinge wie Netbios Kram und Windows Gedöns dann eh nicht weiter soll (geht das Internet schließlich nix an), habe ich da meist einen Alias wie "TrashPorts" o.ä. in welchem solche Ports landen (135, 137-139, 445, etc.) und die generell dann über alle Interfaces geblockt sind. Ist aber nur meine Idee.
-
Mit einer Floating Regel wie dieser?
Wobei ich allerdings unter Interfaces "em5" nicht auswählen kann.
Ich finde diesen Eintrag trotzdem im Log:
block Feb 24 07:33:43 em5 10.0.0.138:138 10.0.0.255:138 UDPLG
esquire1968
-
Jep, so war es gedacht. Allerdings hast du wohl durch den Modembetrieb auf em5 den Sonderfall, dass du die Pakete auf dem Interface bekommst, welches du selbst aber gar nicht wirklich konfiguriert hast. Sowas kommt sonst bei VLANs durch nicht ganz korrekte Konfiguration des Switches vor. Lösen lässt sich das wahrscheinlich wirklich nur, wenn du em5 als dummy interface einbindest aber unkonfiguriert lässt - oder die Pakete ignorierst.
Interessante Frage: Was macht denn der Auto-Rule-Generator wenn du aus dem Log direkt eine Block Regel erstellen lässt? Der sollte em5 ja ebenfalls nicht erreichen können?
Die andere Frage: Wo kommen die (MS) Pakete auf Modem-Seite überhaupt her? Hat das Modem noch nen Samba o.ä. eingebaut? Schon strange. -
Ich werde das mit dem Dummy-IF mal probieren.
Der Auto-Rule-Generator funktioniert wie von Dir beschrieben nicht.
Das Modem (Pirelli PRGAV4202N) - von meinem Provider gestellt - ist eigentlich ein kompletter Router mit WLAN und 4 LANs usw. Die Routerfunktion ist allerdings durch Umstellen auf "Single User" deaktiviert. Ich kann ihn (10.0.0.138) auch nicht an anpingen. Die Einwahl ins vDSL übernimmt die pfSense.
LG
esquire1968 -
Also ich mußte für das Modem extra ein Interface einrichten, um die vom Modem generierten Pakete blocken zu können. Das ist tatsächlich nicht schön, aber ein sauberes Log fand ich wichtiger.
-flo-
-
Mit dem Dummy-IF klappt es. Bleibt nur die Frage, warum das Modem exakt alle 12 Minuten 2 mal diesen Eintrag generiert?!
LG
esquire1968 -
Hi,
und entschuldigt, wenn ich mich hier mal dazwischen klemme… ;)
Wenn es um diesen Eintrag geht....block Feb 22 12:36:49 em5 10.0.0.138:138 10.0.0.255:138 UDP….und em5 ein zum Modem umfunktionierter Router ist, der sich im Normalfall über diese IP erreichen lässt.
Dann ist das doch geblocktes Netbios over TCP/IP, Port 138, auf Netzwerk 10.0.0.0/24, bzw. dessen Broadcastadresse. Die logischerweise von der pfSense, (Layer3) automatisch geblockt wird.
Sorry, hab gerade gelesen das das @-flo- schon gepostet hat.
Wenn das immer in einer bestimmten Zeitfolge auftritt, solltest Du das Pirelli mal checken, was da noch in diesen Zeitabständen von sich hören lässt.
Vielleicht DHCP-Lease Time etc, nur ´ne Vermutung.
Das Pirelli PRGAV4202N hat als Router schon einige Funktionen zu bieten, die man wohl mit Deinem......"Single User".....Modus....…wohl nicht komplett deaktivieren kann.
Vielleicht reicht ja schon ein Zugriff auf das Teil und Du kannst da noch was deaktivieren, was auch in der Modem-Funktion im Augenblick noch mit läuft.
Könnte natürlich auch Samba/Cifs sein, vielleicht in Verbindung mit der am USB-Anschluß vorhandenen Druckfunktion. Ist sicherlich Linux-Firmware drauf, in Verbindung mit der meist angeschlossenen Windows-Welt zumindest denkbar.
Gruß orcape -
Hallo nochmals!
Tatsächlich war der "Fileserver" auf dem Pirelli noch aktiv. Warum auch immer. Dieser ist nun - wie alles andere auch - deaktiviert. Kein Traffic mehr von 10.0.0.138 - Problem daher gelöst.
Schon kurios! Ich dachte im single-user Mode sind alle anderen Features des Dings deaktiviert. Sehr happy bin ich mit dem Ding ohnehin nicht …
LG
esquire1968
