News: This forum is now permanently frozen.
Pages: [1]
Topic: Eintrag im FW Log  (Read 1787 times)
« on: September 11, 2014, 21:58:11 »
cttogo *
Posts: 11

Hallo Forum,
habe heute einen Eintrag im Firewall Log entdeckt.

PASS 19:38:22.202210    WAN    198.143.173.182, port 60316    87.139.xxx.xxx, port 143    TCP

Kann mir jemand sagen was da genau passiert ist?

Der 198. Bereich liegt nicht in meinem Address Bereich.

Danke.

Tom
« Reply #1 on: September 12, 2014, 12:35:08 »
Lennart Grahl ***
Posts: 153

Wie sehen denn die Firewall-Regeln für WAN aus?
« Reply #2 on: September 12, 2014, 21:07:13 »
cttogo *
Posts: 11

Hallo Lennart,
ich hoffe hier findest Du all Infos,
Code:
<filter>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
<not/>
</source>
<destination>
<any/>
</destination>
<descr/>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<network>wanip</network>
<port>58080</port>
</source>
<destination>
<address>192.168.1.253/24</address>
<port>8080</port>
</destination>
<log/>
<descr>Http -&gt; Webserver Admin</descr>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
<port>443</port>
</source>
<destination>
<address>192.168.1.253/24</address>
<port>443</port>
</destination>
<log/>
<descr>Https -&gt; Webserver</descr>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
</source>
<destination>
<any/>
</destination>
<log/>
<descr/>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<network>wanip</network>
<port>80</port>
</source>
<destination>
<address>192.168.1.253/24</address>
<port>80</port>
</destination>
<log/>
<descr>Wan -&gt; Hermod</descr>
</rule>
<rule>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
</source>
<destination>
<address>192.168.1.253</address>
<port>80</port>
</destination>
<descr>NAT Nat-&gt;HTTP</descr>
</rule>
<rule>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
</source>
<destination>
<address>192.168.1.253</address>
<port>443</port>
</destination>
<descr>NAT NAT-&gt;HTTPS</descr>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp</protocol>
<source>
<any/>
<port>58252</port>
</source>
<destination>
<address>192.168.1.252</address>
<port>58252</port>
</destination>
<descr>Wan -&gt; Heimdall</descr>
</rule>
<rule>
<type>pass</type>
<interface>opt2</interface>
<protocol>tcp</protocol>
<source>
<network>opt2</network>
</source>
<destination>
<any/>
</destination>
<frags/>
<descr/>
</rule>
<rule>
<type>pass</type>
<descr>Default LAN -&gt; any</descr>
<interface>lan</interface>
<source>
<network>lan</network>
</source>
<destination>
<any/>
</destination>
</rule>
<rule>
<type>pass</type>
<descr>Default IPsec VPN</descr>
<interface>ipsec</interface>
<source>
<any/>
</source>
<destination>
<any/>
</destination>
</rule>
<rule>
<type>pass</type>
<interface>wan</interface>
<protocol>tcp/udp</protocol>
<source>
<network>wanip</network>
<port>53</port>
</source>
<destination>
<address>192.168.1.253</address>
<port>53</port>
</destination>
<log/>
<descr>Wan -&gt;DNS</descr>
</rule>
<rule>
<interface>wan</interface>
<protocol>tcp/udp</protocol>
<source>
<any/>
</source>
<destination>
<address>192.168.1.253</address>
<port>53</port>
</destination>
<descr>NAT Nat-&gt;DNS</descr>
</rule>
<tcpidletimeout/>
</filter>

Grüße
Tom
« Reply #3 on: September 13, 2014, 20:41:06 »
Lennart Grahl ***
Posts: 153

Moin,

Verursacher ist die vierte Regel. Diese lässt sämtliche eingehende Pakete einfach durch und loggt diese. Ich glaube kaum, dass das so gewünscht ist und wenn es keinen Grund dafür gibt, solltest du die Regel löschen, da die Firewall durch diese Regel quasi außer Kraft gesetzt wird.

Die erste Regel (Not Any to Any)... ich wusste nicht mal, dass das geht, aber noch weniger, was es ausdrücken soll. Huh

Ungewöhnlich sehen für mich auch Regeln 2, 3, 5, 8 und 9 aus:
  • Der Quellenport ist äußerst selten der gleiche, wie der Zielport (betrifft 2, 3, 5, 8 und 9).
  • Wenn 192.168.1.253 ein einzelner Host ist, dann gehört der CIDR-Präfix (/24) da nicht hin (betrifft 2, 3 und 5)
  • Die Quellenadresse ist die Adresse des Senders, nicht des Routers, und wird vermutlich nie die WAN Adresse sein (betrifft 2, 5 und 9)
« Reply #4 on: September 14, 2014, 09:29:56 »
cttogo *
Posts: 11

Hallo Lennert,
Danke für die ausführlichen Infos.

Werde mich mal eingehen mir der Materie auseinander setzen.

Schönen Sonntag

Tom
« Reply #5 on: September 14, 2014, 21:48:06 »
Lennart Grahl ***
Posts: 153

Danke für die ausführlichen Infos.

Gern.

Werde mich mal eingehen mir der Materie auseinander setzen.

Sehr gute Idee!

Schönen Sonntag

Dir ebenfalls. Ich muss leider für eine Klausur lernen. Wink
 
Pages: [1]
 
 
Powered by SMF 1.1.20 | SMF © 2013, Simple Machines