Filter Rules - unbekannten Server blockieren

Guest

Hallo,

mir ist aufgefallen das eine wichtige Maschine von uns regelmäßig eine Verbindung zu einer unbekannten IP 212.184.23.99:64947 aufbaut, wenn ich die IP aufrufe kommt irgendeine Passwortabfrage und steht was von WEBAV. Dies sagt mir aber nichts daher wollte ich es erstmal sperren.
Die Firewall Log sieht wie folgt aus:
Jun 4 15:29:02 LAN 192.168.15.88:58117 212.184.23.99:64947 TCP

Nun hatte ich in den Filter Rules bereits bei LAN gesagt er soll die IP blocken durch
*(Protokoll alle) 192.168.15.88(Source) *(Port alle) 212.184.23.99(Destination) *(Port alle) *(Protokoll alle) unbekannt(Name)

aber leider hat er die Verbindung immer noch ab und zu aufgebaut und es war ein grüner Pfeil im Firewall Log

Daher habe ich die gleiche Regel auch im WAN Interface erstellt natürlich beide nach oben da first-match

Aber die Verbindung wird laut Firewalllog immer noch aufgebaut mit einem grünen Pfeil, woran kann das liegen was mache ich falsch? ???

Ich habe in der Regel auch die Option Log packets that are handled by this rule eingeschaltet was bewirkt diese, weil mehr als vorher kann ich dadurch auch nicht einsehen?

Danke und grüße Zio :)

GruensFroeschli

Rules sind nur effektiv auf dem Interface auf dem der Traffic reinkommt.

Ausserdem ist die Reihenfolge der Regeln wichtig.
Wenn eine Regel zutrifft, werden alle Regeln darunter nicht mehr beachtet.

Guest

Die Verbindung geht ja wenn ich die Firwall richtig verstanden habe vom LAN ins WAN

Jun 4 15:29:02(Time) LAN(IF) 192.168.15.88:58117(Source) 212.184.23.99:64947(Destination) TCP(Proto)

daher hatte ich ja zu erst die erste regel im LAN Interface erstellt, aber die hat nichts gebracht und ich habe sie nochmal im WAN Interface ebenfalls reingesetzt.
Beide Regel sind nach ganz oben geschoben damit sie zuerst greifen, daher verstehe ich nicht warum diese trotzdem zugelassen wird.

GruensFroeschli

Du kannst die Rule auf dem WAN löschen.
Sie macht absolut null und nichts.

Kannst du einen screenshot von deinen Regeln auf dem LAN hier posten?

Guest

ja ist kein Problem die LAN Regel sieht so aus siehe Anhang.

Wofür ist das erweiterte logging? Finde dazu nirgend einen Punkt wo er da mehr anzeigt als sonst ???

![Unbenannt-2 Kopie.gif](/public/imported_attachments/1/Unbenannt-2 Kopie.gif)
![Unbenannt-2 Kopie.gif_thumb](/public/imported_attachments/1/Unbenannt-2 Kopie.gif_thumb)

GruensFroeschli

Per default werden nur blocks geloggt.
Mit dem erweiterten logging kannst du aber auch pass-rules loggen.

Aber was du beschreibst ist etwas seltsam.
Hast du die state-table resetted nachdem du die regel erzeugt hast?

heiko

Teste mal die Rule wenn Du den Haken unter Sytem-advanced bei "Disable Anti Lockout Rule" gesetzt hast, Aber Vorsicht, sieh vorher zu, das dein Regelwerk Dir erlaubt auf die Gui zu zugreifen…

Guest

Hi,

muss ich dafür unter Rules/LAN eine Regel erstellen welche meiner IP alles erlaubt? Hat das irgendwie Auswirkungen auf die anderen Clients?

heiko

@Zionath:

Hi,

muss ich dafür unter Rules/LAN eine Regel erstellen welche meiner IP alles erlaubt? Hat das irgendwie Auswirkungen auf die anderen Clients?

Ja, genau, Auswirkungen auf andere Clients sollte es nicht geben

Guest

danke werde ich mal ausprobieren :)

hat sich inzwischen geklärt was das ist, und zwar werden jeden Tag die Lieferscheine durch die Anlage nach unseren Lieferanten übertragen, einerseits gut das es nicht geblockt wurde ;)