Firewall Log - seltsamer Pass-Eintrag



  • Hallo zusammen!

    Hatte heute im FW-Log folgenden erlaubten Zugriff:

    Interface: WAN
    Source: 89.163.224.233 Port 20
    Dest.: my-wan-ip Port 1
    Rule: @4294967295

    Wenn ich auf den grünen Haken klicke kommt die Info „pass/0“ und „The rule that triggered this action is:“ und nichts weiter.

    Warum ist der Zugriff erlaubt?
    Wie finde ich heraus, welche Regel dafür verantwortlich?

    Danke vorab.

    Thomas



  • Hallo,

    wenn du UPnP erlaubt hast, würde ich in dieser Richtung suchen.
    Dann könnte die Regel schon wieder entfernt worden sein, wenn du das Log checkst und es gibt keine Angabe.

    Grüße



  • Hi!

    UPnP ist deaktiviert. Regel habe ich keine gelöscht. Auch kann ich die Nummer in keiner alten Konfig finden.

    Gruß
    Thomas



  • Hast du einen FTP-Server aktiv hinter der pfSense?

    Ansonsten habe ich auch keine Idee.
    Es gabe vor ein paar Monaten hier mal einen Thread, den ich verfolgt hatte, in dem drei Leute ein ähnliches Problem beklagt hatten, allerdings völlig andere Ports. Blieb meines Wissens ungelöst, obwohl da auch pfSense Gurus mitdiskutierten.

    Bei dem Gedanke, dass da Ports geöffnet und genutzt werden, ist mir nicht wohl. 😕

    Grüße



  • FTP Server läuft keiner nur NFS und SMB.

    Ports, nur die üblichen.

    Stärkt nicht gerade mein Vertrauen 🙁
    Gruß
    Thomas



  • Wenn man nach der externen IP sucht, bekommt man den Eindruck, dass von dort systematisch Portscans gemacht werden. Ist ja an sich nix neues.

    Der Pass Eintrag ist aber eigenartig. Ich hab bei mir rigoros mit dem Pfblocker umfangreich geblockt. Gibt ja zahlreiche Listen für alle möglichen IPs. Firehol, top4, blocklistde usw.usf. Wenn man das bei Floating Rules einträgt, sollte auch Ruhe sein.

    Kann ja auch sein, das irgendwelche Reste von ehemaligen Rules, die in der GUI nicht sichtbar sind, vorhanden sind. Eventuell mal die config runterladen und mit einem Editor durchsuchen. Da finden sich immer wieder sonderbare Dinge.

    Ansonsten vielleicht selbst mal einen Portscan aus dem Internet auf die eigene Wan Adresse durchführen, wenn da unbekannte offene Ports gemeldet werden, kann man ja weitersuchen. Wenn Port 20 offen ist, sollte man das sehen, zumindest ein Log Eintrag müsste dann zu sehen sein. Portscan kann man z.b. hier auslösen: https://www.heise.de/security/dienste/Netzwerkcheck-2114.html


  • LAYER 8 Moderator

    @pete35 said in Firewall Log - seltsamer Pass-Eintrag:

    Der Pass Eintrag ist aber eigenartig. Ich hab bei mir rigoros mit dem Pfblocker umfangreich geblockt. Gibt ja zahlreiche Listen für alle möglichen IPs. Firehol, top4, blocklistde usw.usf. Wenn man das bei Floating Rules einträgt, sollte auch Ruhe sein.

    Zum Einen ist es unnötig extern auf WAN zu blocken wenn man eh nichts erlaubt hat (wenn block any eh läuft, was bringen mir dann zig Blocklisten) und zum anderen würde ich sehr davon abraten, irgendwelche wilden Floating Regeln mit pfB erstellen zu lassen. Ich habe die Diskussion aktuell auch schon mit bbcan aber ihm gefällt es wohl damit immer noch am Besten. Ich halte die Floats an der Stelle für extrem ungünstig, weil man im Normalfall keine Floatings erstellt und somit bei der Regelbetrachtung am Interface die pfB Regeln gern übersieht und vergisst. Zudem werden irgendwelche Pass Regeln dann gern mit Target Any erstellt was ziemliche Löcher aufreißen kann wenn man nicht sehr genau weiß was man tut.

    Wenn ansonsten der Logviewer keine Regel passend dazu findet, muss man ggf. auch überlegen ob es was war, das bereits gelöscht wurde. Oder ob intern ggf. der FTP Helper aktiv ist (sollte heute kaum mehr Standard sein).

    Grüße



  • Ja danke für den Kommentar.

    Bei mir sind einige Ports offen. Damit da nicht aus der ganzen Welt rumprobiert werden kann, block ich halt. Vergessen darf man nix, das hast du schon recht. Wenn irgendwo eine Lücke wäre, hab ich die Hoffnung, dass das vorab damit gleich mal wieder dicht ist.



  • Ich hab ja nach der komischen IP gesucht, bei mir gabs genau auch offensichtlich ein Problem im log,
    jimp sieht sich das jetzt an.

    https://forum.netgate.com/topic/150461/warning-getservbyport-expects-parameter-1-to-be-integer-string-given-in-etc-inc-filter_log-inc-on-line-447

    Klingt tatsächlich nach einem Thema ....



  • Schaut so aus, als ob einfach nur falsch geloggt wird:

    412e847d-3db0-43f5-bdcb-f3512c753fe8-image.png

    Alles gut ... hoffentlich ....



  • Hallo!

    Kein Port von außen offen, auch nicht 20. pfBlocker läuft - allerdings nicht mit floating rules sondern mir rules auf WAN und LAN. Werde mal die config durchsuchen ...

    Besten Dank an alle!
    Thomas



  • Hallo,

    danke für die Rückmeldung.
    Das heißt nun, aufgrund eines Bugs wurden nur falsche Daten ins Log eingetragen?
    Damit könnte ich leben. Wäre aber doch wünschenswert, dass das behoben wird, um
    uns solche Schocks zu ersparen.

    Grüße


Log in to reply