Filter Rules - unbekannten Server blockieren



  • Hallo,

    mir ist aufgefallen das eine wichtige Maschine von uns regelmäßig eine Verbindung zu einer unbekannten IP 212.184.23.99:64947 aufbaut, wenn ich die IP aufrufe kommt irgendeine Passwortabfrage und steht was von WEBAV. Dies sagt mir aber nichts daher wollte ich es erstmal sperren.
    Die Firewall Log sieht wie folgt aus:
    Jun 4 15:29:02 LAN 192.168.15.88:58117 212.184.23.99:64947 TCP

    Nun hatte ich in den Filter Rules bereits bei LAN gesagt er soll die IP blocken durch
    *(Protokoll alle)  192.168.15.88(Source)  *(Port alle)  212.184.23.99(Destination)  *(Port alle)  *(Protokoll alle)    unbekannt(Name)

    aber leider hat er die Verbindung immer noch ab und zu aufgebaut und es war ein grüner Pfeil im Firewall Log

    Daher habe ich die gleiche Regel auch im WAN Interface erstellt natürlich beide nach oben da first-match

    Aber die Verbindung wird laut Firewalllog immer noch aufgebaut mit einem grünen Pfeil, woran kann das liegen was mache ich falsch?  ???

    Ich habe in der Regel auch die Option Log packets that are handled by this rule eingeschaltet was bewirkt diese, weil mehr als vorher kann ich dadurch auch nicht einsehen?

    Danke und grüße Zio  :)



  • Rules sind nur effektiv auf dem Interface auf dem der Traffic reinkommt.

    Ausserdem ist die Reihenfolge der Regeln wichtig.
    Wenn eine Regel zutrifft, werden alle Regeln darunter nicht mehr beachtet.



  • Die Verbindung geht ja wenn ich die Firwall richtig verstanden habe vom LAN ins WAN

    Jun 4 15:29:02(Time) LAN(IF) 192.168.15.88:58117(Source) 212.184.23.99:64947(Destination) TCP(Proto)

    daher hatte ich ja zu erst die erste regel im LAN Interface erstellt, aber die hat nichts gebracht und ich habe sie nochmal im WAN Interface ebenfalls reingesetzt.
    Beide Regel sind nach ganz oben geschoben damit sie zuerst greifen, daher verstehe ich nicht warum diese trotzdem zugelassen wird.



  • Du kannst die Rule auf dem WAN löschen.
    Sie macht absolut null und nichts.

    Kannst du einen screenshot von deinen Regeln auf dem LAN hier posten?



  • ja ist kein Problem die LAN Regel sieht so aus siehe Anhang.

    Wofür ist das erweiterte logging? Finde dazu nirgend einen Punkt wo er da mehr anzeigt als sonst  ???

    ![Unbenannt-2 Kopie.gif](/public/imported_attachments/1/Unbenannt-2 Kopie.gif)
    ![Unbenannt-2 Kopie.gif_thumb](/public/imported_attachments/1/Unbenannt-2 Kopie.gif_thumb)



  • Per default werden nur blocks geloggt.
    Mit dem erweiterten logging kannst du aber auch pass-rules loggen.

    Aber was du beschreibst ist etwas seltsam.
    Hast du die state-table resetted nachdem du die regel erzeugt hast?



  • Teste mal die Rule wenn Du den Haken unter Sytem-advanced bei "Disable Anti Lockout Rule" gesetzt hast, Aber Vorsicht, sieh vorher zu, das dein Regelwerk Dir erlaubt auf die Gui zu zugreifen…



  • Hi,

    muss ich dafür unter Rules/LAN eine Regel erstellen welche meiner IP alles erlaubt? Hat das irgendwie Auswirkungen auf die anderen Clients?



  • @Zionath:

    Hi,

    muss ich dafür unter Rules/LAN eine Regel erstellen welche meiner IP alles erlaubt? Hat das irgendwie Auswirkungen auf die anderen Clients?

    Ja, genau, Auswirkungen auf andere Clients sollte es nicht geben



  • danke werde ich mal ausprobieren  :)

    hat sich inzwischen geklärt was das ist, und zwar werden jeden Tag die Lieferscheine durch die Anlage nach unseren Lieferanten übertragen, einerseits gut das es nicht geblockt wurde  ;)


Log in to reply