leicht OT: Verhalten der PFsense
-
Hi, folgende Situation:
unsere alte PFsense, eine HW XG27xx (oder so was) ist vor einiger Zeit kaputt gegangen. Nun hat unser Schulträger, da er vereinheitlichen möchte, auf Fortigate gesetzt. So ein Ding habe ich nun hier und komme damit nicht so klar.
Das größte Manko was ich z.Zt. habe, ist das die PFsense mir immer schon mitgeteilt hat, das die Anfragen, die inder FW weitergeleitet worden sind an unseren Server, die IP-Adressen sauber zugeordnet werden konnten.
Also sprich wenn ich in unserm Log vom Server gesehen habe auch Port 25 bspw. sind viele loginversuche konnte ich genau sehen, das die IP von draussen kam, also 11.22.33.44 hatte.
Wie genau heißt dieses Verhalten?
In der Fortigate habe ich das nun nicht mehr und ich sehe dann immer die interne IP der Fortigate. Das ist extrem schlecht, da ich so keinen fail2ban laufen lassen kann, da er immer die Fortigate dann sperren würde.
Das Verhalten der PFsense würde ich der Fortigate auch gerne bei bringen, nur leider weiß ich aktuell noch nicht wie. -
@simpsonetti said in leicht OT: Verhalten der PFsense:
In der Fortigate habe ich das nun nicht mehr und ich sehe dann immer die interne IP der Fortigate. Das ist extrem schlecht, da ich so keinen fail2ban laufen lassen kann, da er immer die Fortigate dann sperren würde.
Das klingt für mich eher, als hätte jemand die tolle Idee gehabt, die Fortigate ggf. als L4/L7 Proxy zu nutzen oder ggf. irgendwelche coolen Schutzmechanismen mit Lizenzen da zu aktivieren. Dann nimmt die Kiste wirklich die Verbindungen an, scannt sie und schickt sie weiter und damit hast du zurecht die IP der Fortigate im Log.
Das Verhalten der pfSense bzw. von FreeBSD ist da gar nichts Spezielles, sondern der Standard. Wenn nichts außer ggf. Masquerading/NAT mit dem Paket passiert, wird seine Quelle auch nicht umgeschrieben, ergo wird es völlig normal ausgeliefert. Wenn die Forti das nicht tut, dann agiert sie entweder als Proxy oder schreibt beim NATting auch noch die Source Adresse um (was eigentlich Quark wäre). Denke also eher dass das ein "Feature" der Fortigate ist, was du da beobachtest.
-
Das Feature ist mist. Ich würde gerne meine PFsense wieder haben ...
-
Naja wenn es vorher nicht gefiltert wurde und direkt an der Maschine ankam, ist die Frage: Muss es das jetzt? Ggf. kann man da den Filter etc. auch anpassen.
Wenn es bspw. um HTTP(S) geht, würde ich auf dem Server an dem es ankommt mal schauen, ob da entsprechende Proxy Header gesetzt sind, da steht normalerweise die Originale IP drin. Ansonsten würde ich ebenfalls hart hinterfragen und nachhaken, was da warum jetzt anders ist im Ablauf und ob das sinnvoll ist (bei Mails ggf. je nach Vorfilter mag es gut oder schlecht sein).
-
Also ich habe hier in der FGT:
Inspection Mode: flow-based oder proxy. flow-based ist an
NGFW Mode: Profile-based und Policy-based. Profile-based ist an.Ich muss mal schauen ob ich das so einfach ändern kann.
-
NGFW Gedöns wirds wohl sein. NextGenFireWall Buzzword Bingo. Potentiell was wie IDS oder Mod_security o.ä. was noch dazwischenläuft. Dazu kenn ich die Fortis zu schlecht.
