Gelöst: (1000000103) block drop in log inet all label "Default deny rule IPv4" schlägt bei Alias zu



  • Servus,
    ich habe diverse IPs und FQDNs in einem Alias als Source für ein Firewall-/NAT-Rule aktiv. Einig der dort hinterlegten IPs werden aber durch @9(1000000103) block drop in log inet all label "Default deny rule IPv4" geblockt.

    Irgendwie ist das seltsam: die Verbindungen sind bei allen im Alias hinterlegten Quellen identisch.

    Es bringt auch nichts den Eintrag aus dem Log per Easy-Rule zu erstellen. Wird trotzdem geblockt.

    Hat jemand ne Idee, was das sein könnte?



  • Hallo,

    kannst du mal eine ganze Log-Zeile posten?

    Hast du schon den Regelsatz auf Fehler überprüft:

    pfctl -f /tmp/rules.debug
    


  • Servus,
    danke für die schnelle Antwort. Log im Anhang. rules.debug ist leer / existiert nicht.pfs-block.png



  • Was zu sehen ist, sieht gut aus. Das sind also einfache TCP-Verbindungen mit Zielport 80? Und die Quellen stehen alle im Alias, der in der Source der Regel verwendet wurde?
    Hast du in der Regel als Ziel die interne IP / Netzwerk angegeben?



  • Ja, stehen alle drin. Der weit überwiegende Teil geht, 3 davon nicht. Die gingen aber mal. Und das ist, was mich rätseln lässt.

    Port ist 8080. Dann NAT auf eine interne IP.

    States löschen, reboot und neuinstallation der pfS bringen keine Besserung.



  • @tpf said in (1000000103) block drop in log inet all label "Default deny rule IPv4" schlägt bei Alias zu:

    Es bringt auch nichts den Eintrag aus dem Log per Easy-Rule zu erstellen. Wird trotzdem geblockt.

    Das ist schon sehr seltsam. Soweit ich das kenne, erstellt diese Funktion eine Regel auf dem jeweiligen Interface und verwendet explizit das Protokoll, die Source- u. Dest.-IP und den Dest.-Port des Block-Logs. Da müsste die Regel doch greifen.
    Wenn das nicht funktioniert, bin ich auch mit meiner Weisheit am Ende.



  • Mist. Dann sind wir schon zwei, die kein Land sehen.



  • Ich habs. Aber ob das die Lösung ist? Neuen Alias mit neuem NAT angelegt. Die drei geblockten Adressen in den neuen Alias und siehe da: geht.

    WTF? Im anderen Alias waren es 10 Einträge.



  • Frage mich, warum die Easy-Rule nicht funktioniert hatte.

    Was mir zu dem Problem noch einfällt: Aliases funktionierten mal nicht, wenn darin gleichzeitig IPs und FQDNs verwendet wurden.
    Ich glaube aber, dieses Problem ist längst Geschichte.
    Oder betreibst du eine alte Version?



  • Nein, die aktuellste Version. Vielleicht funktionierte das EasyRule allein nicht, weil der NAT-Eintrag relevant ist?


Log in to reply