4. Logs da un IP che non appartine alla LAN. Perché?

Logs da un IP che non appartine alla LAN. Perché?


  • Ciao a tutti.

    Premessa
    Il mio PfSense è collegato ad un router che ha assegnato alla porta WAN di PFsense L'IP 192.168.3.124 (che ho impostato in DMZ). Ho assegnato alla LAN gestita da PFsense un indirizzo tipo 192.168.5.0.
    Ho notato che nella finestra Firewall Logs di Pfsense mi viene riportato traffico bloccato dal pc con IP 192.168.3.200 (source - il mio pc principale in pratica, collegato con cavo al primo router e non a pfsense) alla destinazione 192.168.3.255:137. Non solo, ma vedo anche che intercetta il traffico e tentativi di connessione dallo stesso pc con IP 192.168.3.200 all'IP esterno 224.0.0.251:5353

    Ora sicurametne c'è qualcosa che mi sfugge dovuto principalmente alla mia scarsa conoscenza sia delle dinamiche di funzionamento delle reti che dello stesso PFsense, ma non ho capito perché nella finestra di FIrewall Logs di PFsense venga riportato anche il tentativo di connessione di un PC che fa parte di una LAN differente (192.168.3.0) a quella che ho creato nel firewall (192.168.5.0).
    Capisco che l'indirizzo WAN del firewall appartenga alla LAN del primo router, ma pensavo che pfsense si interessasse solo del traffico generato dai dispositivi della propria LAN (192.168.5.0).
    Potete aiutarmi a capire questo comportamento e il perché di quei logs?
    Grazie

    0
  • LAYER 8

    @senseiluke said in Logs da un IP che non appartine alla LAN. Perché?:

    192.168.3.255:137

    cerchiamo di capire passo passo.
    .255 è l'ip di broadcast della tua rete locale, diciamo che è un ip particolare
    un messaggio inviato all'indirizzo IP broadcast viene ricevuto da tutti i dispositivi connessi a quella rete
    il tipo di messaggio / richiesta varia in base al protocollo, nel tuo caso specifico:
    137 UDP netbios-ns - NETBIOS Name Service è un servizio di windows che ricerca i nomi dei dispositivi sulla rete
    quindi in sostanza il tuo pc ha inviato una richiesta all'indirizzo ip di broadcast per riconoscere i dispositivi presenti sulla rete come stampanti / pc e altri device presenti ma pfsense ha bloccato la richiesta.

    se pfsense non controllase la WAN non sarebbe un firewall, direi che è la parte più importante da proteggere considerando che su pfsense LAN è aperta verso tutto di default. è normale vedere quel tipo di traffico bloccato

    1 2 Replies

  • @kiokoman

    Molto chiaro. Grazie ancora!

    0

  • This post is deleted!
    0

  • @kiokoman
    Ah scusa dimenticavo una cosa.
    Capisco che Pfsense protegga la sua WAN, ma perché risulta bloccato anche il tentativo di contatto del pc con IP 192.168.3.200 (che non fa parte della sua LAN) all'IP esterno 224.0.0.251:5353?
    Grazie

    0
  • LAYER 8

    224.0.0.251 non è un ip esterno, è un altro di quegli ip speciali chiamato multicast che viene quindi intercettato e bloccato
    https://en.wikipedia.org/wiki/Multicast_DNS
    https://en.wikipedia.org/wiki/Multicast_address

    1 1 Reply

  • @kiokoman
    ah ok, grazie

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy