TCP:RA TCP:PA im Logfile



  • Hallo alle zusammen,

    ich hab mir mal wieder unser Firewall-Log angesehen, das sieht aktuell so aus (mehr im Screenshoot):
    blockiert werden also immer Pakete vom internen LAN zum Zentralen Proxy. Wobei ausgehen aus dem internen Lan eine . - also alles ist Erlaubt Regel
    gesetzt ist. Wie bekomme ich das aus dem Log? Ich habe schon einiges probiert, finde aber keinen Lösung.

    Jun 2 13:32:47 LAN 192.168.1.112:53436 10.100.1.127:8080 TCP:RA
    Jun 2 13:32:47 LAN 192.168.1.112:53436 10.100.1.127:8080 TCP:PA
    Jun 2 13:21:53 LAN 192.168.1.50:1519 10.100.1.127:8080 TCP:RA
    Jun 2 13:21:53 LAN 192.168.1.50:1519 10.100.1.127:8080 TCP:PA
    Jun 2 13:21:53 LAN 192.168.1.50:1786 10.100.1.127:8080 TCP:RA
    Jun 2 13:21:53 LAN 192.168.1.50:1786 10.100.1.127:8080 TCP:PA
    Jun 2 12:49:51 LAN 192.168.1.112:52936 10.100.1.127:8080 TCP:RA

    Gruß
    Thomas Süß




  • @vegatronic:

    Wie bekomme ich das aus dem Log? Ich habe schon einiges probiert, finde aber keinen Lösung.

    In den Log-Settings den Haken bei "Log packets matched from the default block rules in the ruleset" entfernen.

    Sollte es nur für dieses Interface sein, lege auf diesem eine eigene Block-All Regel am unteren Ende an und deaktiviere darin das Logging.



  • "Sollte es nur für dieses Interface sein, lege auf diesem eine eigene Block-All Regel am unteren Ende an und deaktiviere darin das Logging."

    Danke - das sieht gut aus…...

    Gruß
    Thomas



  • Auch wenn das so ein bisschen die Holzhammermethode ist - ich möchte ja alles andere sehen was aus dem LAN geblockt wird -  8), gibt es die Möglichkeit das anhand der TCP Flags zu blocken ? Irgendwie verstehe ich nicht was pfSense da unter Advanced meint….

    Hat noch jemand eine Idee dazu?

    Gruß
    Thomas



  • Normalerweise sollten diese Pakete aber nicht verworfen werden.

    Versuch mal die pfSense in System -> Advanced  -> Firewall & NAT

    Die Option  "Firewall Optimization Options" auf  "Conservative" zu stellen.

    Somit versucht die PFSense zu verhindern legitime Verbindungen zu "droppen".
    Braucht aber etwas mehr RAM und CPU auf der pfSense.



  • @:Sash:

    das habe ich schon gemacht, bewirkt aber keine Änderung…..
    Ich bin jetzt 14 Tage im Urlaub, danach mache ich mal einen Netzplan, vielleicht hilft das beim verstehen weiter.

    Gruß
    Thomas



  • Das sind ACK-Pakete, siehe Flag, also out-of-state, die werden immer verworfen, daher fallen sie auch unter die Default-Deny Regel.

    Sollte es Probleme mit der Kommunikation aufgrund der verworfenen Pakete geben, ist der Fehler anderswo zu suchen. Meist liegt es an einem asymmetrischen Routing, heißt die SYN-Pakte nehmen den einen Weg, Antwort-Pakete einen anderen, infolge hat die pfSense keinen State für die Antwort-Pakte und verwirft sie.
    Siehe: https://doc.pfsense.org/index.php/Why_do_my_logs_show_"blocked"_for_traffic_from_a_legitimate_connection
    https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_Rules

    Aber um das zu klären, wären ein paar mehr Informationen erforderlich.



  • @viragomann

    das kann gut sein, der gesammte Internetverkehr geht über einen Proxy-Cluster, dieser hat als Cluster IP die 10.100.1.127 - dahinter stehen mehrere einzelne Appliances. Bei hoher Last passiert es dann das nicht die 10.100.1.127 die Anfrage beantwortet sondern eine der dahinterstehenden Adressen… dies ist natürlich unschön.

    Gruß
    Thomas



  • Zu deinem Proxy-Cluster kann ich nichts sagen. Nach meinem Dafürhalten sollte ein Cluster eine gemeinsame IP haben, aber ich denke es wird einen Grund haben, weswegen das bei dir nicht so ist.

    Wenn die Pakete durch die Firewall gehen sollen, kannst du es mit einer Pass-Firewall-Regel am LAN Interface versuchen, die die Flags nicht berücksichtigt. In der Regel die Advanced Options anzeigen und bei TCP Flags unter "out of" die zu löschenden Flags anhaken. Damit habe ich allerdings noch keine Erfahrung gesammelt.

    Grüße


Log in to reply