Unbekannten Traffic v. WebCams blockieren


  • Nabend @all,

    danke für eure Antworten, war heut den ganzen Tag unterwegs daher erst jetzt die Antworten:

    @flo: upnp ist deaktiviert
    @hbauer: eine screenshot von dem alias webcams habe ich angehängt
    @JeGr: Screenshot vom Alias habe ich beigefügt, Floating war nur ein Test, habe ich wieder entfernt / die aktuellen LAN-Rules habe ich per Screenshot ebenfalls angehängt

    Ich habe direkt hinter der allgemeinen Blockregel für IPv6 eine weitere Regel erstellt, die von sämtlichen Quellen jeglichen Traffic auf die o.g. IP blockt.

    Block: LAN-Schnittstelle - IPv4 - Protocol any - Source any –> Destination Host 54.219.236.25

    Auch diese greift leider nicht. Scheinbar stellt die Kamera eine Verbindung zum Hersteller als DDNS Service her. In der WebConfig der Kamera ist alles deaktiviert, daher wollte ich die Verbindungen via pfsense verhindern.



  • Wenn diese Block Regel nicht zieht dann scheint es nicht an dem Alias liegen.

    Gibt es vielleicht noch eine Interface Gruppe mit einer Regel?


  • Hallo hbauer,

    es gibt auf OPT1 (ETH2) das VLAN1 und VLAN200. Hier sind aber keine Regeln bzgl. der WebCams angelegt, da diese nur via LAN angebunden sind. Floating-Rules habe ich keine definiert.

    Mhmm, steh leider nachwievor völlig auf dem Schlauch und bin über jede Hilfe dankbar.

  • Banned

    Die States hast du aber zurückgesetzt nachdem du die Regel aktiviert hast?


  • Nein, States habe ich bisher nicht zurückgesetzt. War bei allen anderen Regeln bisher auch nicht notwendig.

  • Banned

    @Micky008:

    Nein, States habe ich bisher nicht zurückgesetzt. War bei allen anderen Regeln bisher auch nicht notwendig.

    Na dann tu das mal, so lange ein State für die Verbindung besteht hat die Regel keine Auswirkungen, da die Regeln nur für das erstellen von States angewendet werden.


  • unter Diagnostics -> States -> Reset States, oder?

  • Banned

    @Micky008:

    unter Diagnostics -> States -> Reset States, oder?

    Ja. Wenn das nicht hilft beschreibe deinen Netzwerk mal ganz genau, inkl. aller Regeln die du erstellt hast. Sonst raten wir hier nur im Dunkeln weiter.


  • Habe die States zurückgesetzt, der Traffic per PacketCapture zeigt noch immer die Verbindung zur genannten IP an. Mein Netzwerk ist folgendermaßen aufgebaut:

    VodafoneCable via FritzBox 6490 Cable –> pfsense WAN (eth0) -> LAN (eth1) + OPT1 (eth2)

    OPT1 stellt 2 VLAN´s zur Verfügung, welche keinerlei Zugriff auf LAN/WAN haben. Habe der Einfachheit OPT1 vorrübergehend deaktiviert. An LAN (eth1) hängt eine fritzbox 7490 welche allen Geräten per Ethernet/WLAN den Zugang zum LAN-Netzwerk ermöglicht. Squid läuft zudem als transparenter Proxy.

    Die besagten WebCams sind 2 Wansview Kameras, weiterhin sind im LAN ne handvoll Notebooks, Handy´s, raspberry pi´s ....

    auf WAN Seite gibt es nur 1 Regel für die PortWeiterleitung f. den OpenVPN Server, welcher auf einem meiner pi´s läuft.

    Die LAN-Regeln habe ich im vorletzten Post per Screenshot angehongen. Falls du weitere Infos benötigst stelle ich die gern zur Verfügung.

    EDIT: Ich habe testweise die u.g. IP mal mit einer anderen getauscht. Vorher konnte ich das Ziel anpingen, nach dem Ändern der IP und dem Reset der States konnte die Test-IP nicht mehr angepingt werden. Ansich scheint die Regel daher zu funktionieren, die Frage ist nur warum die Cam nachwievor mit dieser u.g. IP kommunizieren kann...

  • Banned

    Schau dir mal die States der Cam an, ist da einer für die Ziel IP dabei? Wenn machst du das PacketCapture, wenn am LAN Interface dann überprüfe bitte auch ob es am WAN Interface weitergeht. Die Fritzbox am LAN macht aber hoffentlich kein NAT.


  • Hallo Grimson,

    erstmal vielen Dank für deine Geduld und Unterstützung. Die o.g. Logs aus dem PacketCapture habe ich auf der LAN-Schnittstelle gemacht.

    Sobald die Kamera gestartet wird erscheint folgender Eintrag bei den States:

    
    LANSCHNITTSTELLE 	tcp 	192.168.XX.225:2048 -> 127.0.0.1:3128 (54.219.236.25:80) 	TIME_WAIT:TIME_WAIT 	5 / 5 	398 B / 531 B
    
    

    Wenn ich die Kamera vom Strom nehme, wird der States Eintrag sofort wieder entfernt.

    Die Fritzbox an der LAN-Schnittstelle macht kein NAT, wird nur als LAN + WLAN-Accesspoint genutzt, sollte also hier nicht dazwischen funken können.

    Ich habe zudem nochmal ein PacketCapture auf der WAN-Schnittstelle ausgeführt. Das Log ist leer, egal ob ich nach der IP Adresse der Kamera oder nach der o.g. 54.219.236.25 filtere….

    Ich guck mir nochmal Squid an, vielleicht gibt es hier die Möglichkeit die IP zu blockieren. Hast du sonst noch eine Idee?

    Grüße M.

    EDIT: Squid-Logs (bestätigt meinen Verdacht bzgl. dem ungewollten DDNS Service)

    
    14.10.2017 18:04:21	192.168.XX.225/192.168.XX.225	http://54.219.236.25/api/userip.asp?username=XXXXXXX&userpwd=XXXXXXXX&vertype=910&language=0&dtype=0&tcpport=80&lanip=192.168.XX.225	Request(default/in-addr/-) - GET REDIRECT
    
    
  • Banned

    @Micky008:

    Hallo Grimson,

    erstmal vielen Dank für deine Geduld und Unterstützung. Die o.g. Logs aus dem PacketCapture habe ich auf der LAN-Schnittstelle gemacht.

    Sobald die Kamera gestartet wird erscheint folgender Eintrag bei den States:

    
    LANSCHNITTSTELLE 	tcp 	192.168.XX.225:2048 -> 127.0.0.1:3128 (54.219.236.25:80) 	TIME_WAIT:TIME_WAIT 	5 / 5 	398 B / 531 B
    
    

    Wenn ich die Kamera vom Strom nehme, wird der States Eintrag sofort wieder entfernt.

    Die Fritzbox an der LAN-Schnittstelle macht kein NAT, wird nur als LAN + WLAN-Accesspoint genutzt, sollte also hier nicht dazwischen funken können.

    Ich habe zudem nochmal ein PacketCapture auf der WAN-Schnittstelle ausgeführt. Das Log ist leer, egal ob ich nach der IP Adresse der Kamera oder nach der o.g. 54.219.236.25 filtere….

    Das sieht doch schon mal gut aus, dann verlässt der Traffic anscheinend die pfSense nicht. Ich habe noch nicht mit squid gearbeitet, aber ich könnte mir vorstellen dass das Antwort Packet auf der LAN Schnittstelle von squid kommt und nur eine entsprechende Fehlermeldung ist, schau dir doch einmal den Inhalt des Packetes an.

    @Micky008:

    
    14.10.2017 18:04:21	192.168.XX.225/192.168.XX.225	http://54.219.236.25/api/userip.asp?username=XXXXXXX&userpwd=XXXXXXXX&vertype=910&language=0&dtype=0&tcpport=80&lanip=192.168.XX.225	Request(default/in-addr/-) - GET REDIRECT
    
    

    Mach doch einfach mal einen simplen Test pack einen deiner PCs in den Webcams Alias mit rein (nicht vergessen die States nach dem Neuladen der Filter zurück zu setzen), versuche die obige URL zu erreichen und schau was dabei raus kommt.

    Was ich mir noch vorstellen könnte, mit einem Proxy auf der Firewall, ist das durch die Anti-Lockout Regel Zugriffe auf Port 80 später nicht mehr geblockt werden können. Da diese Regel die Zugriffe ja schon zulässt. Solltest du also mit obigem Test auf die Webseite durchkommen kannst du ja mal probieren die WebUI von der pfSense auf z.B. Port 88 oder 8080 zu legen, das müsste die Regel mit anpassen.


  • Mhmm, ich denke schon dass der Traffic raus geht… lt. PacketCapture kommt ja auch was von der uminösen IP zurück. Das mit dem zusätzlichen Client in den Alias werde ich morgen ausprobieren, heut schaff ich es leider nicht mehr.

  • Banned

    Du kannst auch mal die pf Regeln im ganzen posten, bitte auf pastebin o.ä. und dann nen Link, nicht direkt hier ins Forum: https://doc.pfsense.org/index.php/How_can_I_see_the_full_PF_ruleset

    Eigentlich sollten die Umleitungsregeln für squid erst nach den Benutzer Regeln auftauchen, wenn sie davor auftauchen ist das ein Bug.


  • Hallo Grimson,

    hatte in den letzten Tagen aus familiären Gründen leider "Land Unter". Sorry, dass ich erst jetzt antworte. Ich habe mir die Rules angeschaut, soweit ich das erkennen kann stehen auch die Squid Regeln unter den Nutzer Regeln.

    Diese stehen hier am Ende:

    
    ...
    block drop in quick on igb0 inet from any to 54.219.236.25 label "USER_RULE: Traffic auf WansView DDNS verhindern"
    ...
    pass in quick on igb0 proto tcp from any to (igb0) port = 3128 flags S/SA keep state
    pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3128 flags S/SA keep state
    pass in quick on lo0 proto tcp from any to (lo0) port = 3128 flags S/SA keep state
    pass in quick on igb0 proto tcp from any to (igb0) port = 3129 flags S/SA keep state
    pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3129 flags S/SA keep state
    pass in quick on lo0 proto tcp from any to (lo0) port = 3129 flags S/SA keep state
    
    

    Unter States finde ich nur den folgenden Eintrag, welche einen Bezug auf die WebCam haben:

    
    igb0 tcp 127.0.0.1:3128 (54.219.236.25:80) <- 192.168.XX.225:2054       TIME_WAIT:TIME_WAIT
    
    

    Die Blockregel auf die ominöse IP habe ich ich via any von allen Geräten aus LAN net versucht. Dennoch kann ich die IP erreichen.

    Hab auch unter Squid keine Möglichkeit gefunden diese IP zu blockieren.

    LG Micky

  • Banned

    Die ganzen Regeln wären hilfreich, nicht nur ein Ausschnitt davon.


  • Kann ich dir die Rules auch anderweitig zur Verfügung stellen?

  • Banned

    Nope, I halte Security through obscurity für absoluten Schwachsinn und unterstütze es in keiner Form.

    Mit den lokalen IP Adressen kann von außen keiner was anfangen, und wenn jemand an der Firewall vorbei ist hast du so oder so verloren.


  • ok, trotzdem Danke für deine Hilfe.

    Grüße M.


  • Hallo und Guten Morgen,

    habe nun einen funktionierenden Weg gefunden den unerwünschten Traffic zu verhindern. Und zwar nutze ich Domain Overrides des DNS Resolvers um die Domän nwsvr.com auf 127.0.0.1 umzulenken.

    Somit können die WebCams nun nicht mehr den WansView DDNS Server erreichen. Ganz lieben Dank an alle die mit nach einer Lösung gesucht haben.

    Grüße M.