Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Logs da un IP che non appartine alla LAN. Perché?

    Italiano
    2
    7
    102
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • senseiluke
      senseiluke last edited by senseiluke

      Ciao a tutti.

      Premessa
      Il mio PfSense è collegato ad un router che ha assegnato alla porta WAN di PFsense L'IP 192.168.3.124 (che ho impostato in DMZ). Ho assegnato alla LAN gestita da PFsense un indirizzo tipo 192.168.5.0.
      Ho notato che nella finestra Firewall Logs di Pfsense mi viene riportato traffico bloccato dal pc con IP 192.168.3.200 (source - il mio pc principale in pratica, collegato con cavo al primo router e non a pfsense) alla destinazione 192.168.3.255:137. Non solo, ma vedo anche che intercetta il traffico e tentativi di connessione dallo stesso pc con IP 192.168.3.200 all'IP esterno 224.0.0.251:5353

      Ora sicurametne c'è qualcosa che mi sfugge dovuto principalmente alla mia scarsa conoscenza sia delle dinamiche di funzionamento delle reti che dello stesso PFsense, ma non ho capito perché nella finestra di FIrewall Logs di PFsense venga riportato anche il tentativo di connessione di un PC che fa parte di una LAN differente (192.168.3.0) a quella che ho creato nel firewall (192.168.5.0).
      Capisco che l'indirizzo WAN del firewall appartenga alla LAN del primo router, ma pensavo che pfsense si interessasse solo del traffico generato dai dispositivi della propria LAN (192.168.5.0).
      Potete aiutarmi a capire questo comportamento e il perché di quei logs?
      Grazie

      1 Reply Last reply Reply Quote 0
      • kiokoman
        kiokoman LAYER 8 last edited by kiokoman

        @senseiluke said in Logs da un IP che non appartine alla LAN. Perché?:

        192.168.3.255:137

        cerchiamo di capire passo passo.
        .255 è l'ip di broadcast della tua rete locale, diciamo che è un ip particolare
        un messaggio inviato all'indirizzo IP broadcast viene ricevuto da tutti i dispositivi connessi a quella rete
        il tipo di messaggio / richiesta varia in base al protocollo, nel tuo caso specifico:
        137 UDP netbios-ns - NETBIOS Name Service è un servizio di windows che ricerca i nomi dei dispositivi sulla rete
        quindi in sostanza il tuo pc ha inviato una richiesta all'indirizzo ip di broadcast per riconoscere i dispositivi presenti sulla rete come stampanti / pc e altri device presenti ma pfsense ha bloccato la richiesta.

        se pfsense non controllase la WAN non sarebbe un firewall, direi che è la parte più importante da proteggere considerando che su pfsense LAN è aperta verso tutto di default. è normale vedere quel tipo di traffico bloccato

        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
        Please do not use chat/PM to ask for help
        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

        senseiluke 2 Replies Last reply Reply Quote 1
        • senseiluke
          senseiluke @kiokoman last edited by

          @kiokoman

          Molto chiaro. Grazie ancora!

          1 Reply Last reply Reply Quote 0
          • senseiluke
            senseiluke last edited by senseiluke

            This post is deleted!
            1 Reply Last reply Reply Quote 0
            • senseiluke
              senseiluke @kiokoman last edited by senseiluke

              @kiokoman
              Ah scusa dimenticavo una cosa.
              Capisco che Pfsense protegga la sua WAN, ma perché risulta bloccato anche il tentativo di contatto del pc con IP 192.168.3.200 (che non fa parte della sua LAN) all'IP esterno 224.0.0.251:5353?
              Grazie

              1 Reply Last reply Reply Quote 0
              • kiokoman
                kiokoman LAYER 8 last edited by kiokoman

                224.0.0.251 non è un ip esterno, è un altro di quegli ip speciali chiamato multicast che viene quindi intercettato e bloccato
                https://en.wikipedia.org/wiki/Multicast_DNS
                https://en.wikipedia.org/wiki/Multicast_address

                ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                Please do not use chat/PM to ask for help
                we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                senseiluke 1 Reply Last reply Reply Quote 1
                • senseiluke
                  senseiluke @kiokoman last edited by

                  @kiokoman
                  ah ok, grazie

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post