Frage zum Inhalt von Firewall log - absoluter Anfänger



  • Hallo alle zusammen,

    wie im subject beschrieben, ist pfsense und die dahinter liegenden Prozesse Neuland für mich, habt bitte nachsicht. ;)

    Googlen, pfsense wiki, hier im forum suchen hat mir nicht geholfen.

    Mein firewall log ist voll mit diesen Einträgen.

    172.18.224.x und 192.168.240.x sind intranet und ich wundere mich etwas, woher die kommen, zu welchen prozessen die zugehörig sind.

    Packages:  arpwatch, bandwithd, darkstat

    meine Frage ist nun, kann ich nun per easy rule:pass this traffic, die Einträge aus meinem log verbannen, oder läuft bei mir was schief?

    Danke im Voraus.  ???

    Edit: ok, ich bin es falsch angegangen, sorry sind broad- und multicast, aber auch nach regel hinzufügen scheint es im log auf …


  • LAYER 8 Moderator

    UDP/67 und /68 sind DHCP Pakete. Da läuft was anderes falsch, wenn die im Log auftauchen, es sei denn du hast 2 LANs und das eine Segment versucht ins andere zu funken. Blocken müsste theoretisch mit Regel "proto udp src any port 67" funktionieren, die Auto-Regeln lasse ich eigentlich lieber sein :)

    Grüße



  • Broadcasts sind nur für das eigene Netzwerksegment bestimmt und werden daher an der pfSense Schnittstelle geblockt. Zuständig ist die "Default deny rule", also die die auf Pakete ansetzt, die von keiner anderen Regel abgehandelt werden.
    Diesen Traffic per Regel zu erlauben wäre sinnlos.

    Wenn du die Logs nicht sehen magst, kannst du sie mit einer Block-Regel im abfangen, für die du keine Logging aktivierst.



  • @JeGr:

    UDP/67 und /68 sind DHCP Pakete. Da läuft was anderes falsch, wenn die im Log auftauchen, es sei denn du hast 2 LANs und das eine Segment versucht ins andere zu funken.

    nein, hab nur eins, em0 wan und em1 lan, es hängen allerdings zwei router als ap drann.

    proto udp src any port 67

    wo muss ich das eintragen? (bin noch der vollnoob^^)

    @viragomann:

    Broadcasts sind nur für das eigene Netzwerksegment bestimmt und werden daher an der pfSense Schnittstelle geblockt. Zuständig ist die "Default deny rule", also die die auf Pakete ansetzt, die von keiner anderen Regel abgehandelt werden.
    Diesen Traffic per Regel zu erlauben wäre sinnlos.

    Wenn du die Logs nicht sehen magst, kannst du sie mit einer Block-Regel im abfangen, für die du keine Logging aktivierst.

    Wo abfangen? (da fehlt das Wo, grins)

    Aber eigentlich scheint dieser traffic normalerweise nicht auf?


Log in to reply