Unbekannten Traffic v. WebCams blockieren

Micky008

Mhmm, ich denke schon dass der Traffic raus geht… lt. PacketCapture kommt ja auch was von der uminösen IP zurück. Das mit dem zusätzlichen Client in den Alias werde ich morgen ausprobieren, heut schaff ich es leider nicht mehr.

Grimson

Du kannst auch mal die pf Regeln im ganzen posten, bitte auf pastebin o.ä. und dann nen Link, nicht direkt hier ins Forum: https://doc.pfsense.org/index.php/How_can_I_see_the_full_PF_ruleset

Eigentlich sollten die Umleitungsregeln für squid erst nach den Benutzer Regeln auftauchen, wenn sie davor auftauchen ist das ein Bug.

Micky008

Hallo Grimson,

hatte in den letzten Tagen aus familiären Gründen leider "Land Unter". Sorry, dass ich erst jetzt antworte. Ich habe mir die Rules angeschaut, soweit ich das erkennen kann stehen auch die Squid Regeln unter den Nutzer Regeln.

Diese stehen hier am Ende:

...
block drop in quick on igb0 inet from any to 54.219.236.25 label "USER_RULE: Traffic auf WansView DDNS verhindern"
...
pass in quick on igb0 proto tcp from any to (igb0) port = 3128 flags S/SA keep state
pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3128 flags S/SA keep state
pass in quick on lo0 proto tcp from any to (lo0) port = 3128 flags S/SA keep state
pass in quick on igb0 proto tcp from any to (igb0) port = 3129 flags S/SA keep state
pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3129 flags S/SA keep state
pass in quick on lo0 proto tcp from any to (lo0) port = 3129 flags S/SA keep state

Unter States finde ich nur den folgenden Eintrag, welche einen Bezug auf die WebCam haben:

igb0 tcp 127.0.0.1:3128 (54.219.236.25:80) <- 192.168.XX.225:2054       TIME_WAIT:TIME_WAIT

Die Blockregel auf die ominöse IP habe ich ich via any von allen Geräten aus LAN net versucht. Dennoch kann ich die IP erreichen.

Hab auch unter Squid keine Möglichkeit gefunden diese IP zu blockieren.

LG Micky

Grimson

Die ganzen Regeln wären hilfreich, nicht nur ein Ausschnitt davon.

Micky008

Kann ich dir die Rules auch anderweitig zur Verfügung stellen?

Grimson

Nope, I halte Security through obscurity für absoluten Schwachsinn und unterstütze es in keiner Form.

Mit den lokalen IP Adressen kann von außen keiner was anfangen, und wenn jemand an der Firewall vorbei ist hast du so oder so verloren.

Micky008

ok, trotzdem Danke für deine Hilfe.

Grüße M.

Micky008

Hallo und Guten Morgen,

habe nun einen funktionierenden Weg gefunden den unerwünschten Traffic zu verhindern. Und zwar nutze ich Domain Overrides des DNS Resolvers um die Domän nwsvr.com auf 127.0.0.1 umzulenken.

Somit können die WebCams nun nicht mehr den WansView DDNS Server erreichen. Ganz lieben Dank an alle die mit nach einer Lösung gesucht haben.

Grüße M.