Logs da un IP che non appartine alla LAN. Perché?

senseiluke

Ciao a tutti.

Premessa
Il mio PfSense è collegato ad un router che ha assegnato alla porta WAN di PFsense L'IP 192.168.3.124 (che ho impostato in DMZ). Ho assegnato alla LAN gestita da PFsense un indirizzo tipo 192.168.5.0.
Ho notato che nella finestra Firewall Logs di Pfsense mi viene riportato traffico bloccato dal pc con IP 192.168.3.200 (source - il mio pc principale in pratica, collegato con cavo al primo router e non a pfsense) alla destinazione 192.168.3.255:137. Non solo, ma vedo anche che intercetta il traffico e tentativi di connessione dallo stesso pc con IP 192.168.3.200 all'IP esterno 224.0.0.251:5353

Ora sicurametne c'è qualcosa che mi sfugge dovuto principalmente alla mia scarsa conoscenza sia delle dinamiche di funzionamento delle reti che dello stesso PFsense, ma non ho capito perché nella finestra di FIrewall Logs di PFsense venga riportato anche il tentativo di connessione di un PC che fa parte di una LAN differente (192.168.3.0) a quella che ho creato nel firewall (192.168.5.0).
Capisco che l'indirizzo WAN del firewall appartenga alla LAN del primo router, ma pensavo che pfsense si interessasse solo del traffico generato dai dispositivi della propria LAN (192.168.5.0).
Potete aiutarmi a capire questo comportamento e il perché di quei logs?
Grazie

kiokoman

@senseiluke said in Logs da un IP che non appartine alla LAN. Perché?:

192.168.3.255:137

cerchiamo di capire passo passo.
.255 è l'ip di broadcast della tua rete locale, diciamo che è un ip particolare
un messaggio inviato all'indirizzo IP broadcast viene ricevuto da tutti i dispositivi connessi a quella rete
il tipo di messaggio / richiesta varia in base al protocollo, nel tuo caso specifico:
137 UDP netbios-ns - NETBIOS Name Service è un servizio di windows che ricerca i nomi dei dispositivi sulla rete
quindi in sostanza il tuo pc ha inviato una richiesta all'indirizzo ip di broadcast per riconoscere i dispositivi presenti sulla rete come stampanti / pc e altri device presenti ma pfsense ha bloccato la richiesta.

se pfsense non controllase la WAN non sarebbe un firewall, direi che è la parte più importante da proteggere considerando che su pfsense LAN è aperta verso tutto di default. è normale vedere quel tipo di traffico bloccato

senseiluke

@kiokoman

Molto chiaro. Grazie ancora!

senseiluke

This post is deleted!

senseiluke

@kiokoman
Ah scusa dimenticavo una cosa.
Capisco che Pfsense protegga la sua WAN, ma perché risulta bloccato anche il tentativo di contatto del pc con IP 192.168.3.200 (che non fa parte della sua LAN) all'IP esterno 224.0.0.251:5353?
Grazie

kiokoman

224.0.0.251 non è un ip esterno, è un altro di quegli ip speciali chiamato multicast che viene quindi intercettato e bloccato
https://en.wikipedia.org/wiki/Multicast_DNS
https://en.wikipedia.org/wiki/Multicast_address

senseiluke

@kiokoman
ah ok, grazie