Firewall Protokoll

[Crossi]

Hallo Zusammen,
Kurze Frage.
Wenn ich mit einem Tablet(IP x.x.x.206) übers WLAN AP der im LAN hängt durch die Firewall ins Internet auf ne Webseite gehe müsste ich doch im Protokoll irgendwo auch Aktivitäten in der Protokollanzeige(Liveansicht) sehen, oder?

edit:
und noch ne Frage hinterher

   wan      Mar 27 22:51:21   8x.xx.xx.3:61404   192.31.80.30:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:64457   156.154.103.3:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:54619   192.33.14.30:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:48973   192.12.94.30:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:64497   156.154.102.3:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:45719   199.249.120.1:53   udp   let out anything from firewall host itself   
   wan      Mar 27 22:51:21   8x.xx.xx.3:21372   205.251.195.199:53   udp   let out anything from firewall host itself

Frag da die Firewall von sich aus selber was an? Denn eigentlich möchte ich wissen, welche Client ist dafür verantwortlich.
Ende edit

VG von der Küste
Crossi

[rolfd]

Dein Log zeigt Anfragen an externe dns Server (53). Das macht dein Unbound Dienst wenn er Namen auflöst.
Die Pakete/Anfragen könnten auch vom Wlan oder anderen Geräten kommen, es macht aber kein Sinn, den lokalen dns (Unbound Dienst) zu umgehen - was auch nur passieren würde, wenn der wlan client ein anderen dns server nutzt als per dhcp zugewiesen. Das kann man machen, ist aber wie gesagt quatsch!
Umgehen könnte man das zudem durch transparentes Umleiten von wlan port 53 auf 127.0.0.1 oder untersagen des Port forward für Port 53 von wlan nach wan. Is aber immer noch quatsch...

Pakete die übers WLAN rein kommen... falls du ein WLAN Adapter hast... werden auch als WLAN Paket eintreffen... hast du als WLAN eine externen Accesspoint, kommen sie über LAN rein und sind nicht mehr einfach als über die Schnittstelle definierte WLAN Pakete identifizierbar. (evtl. aber noch über adressen, headerinfos(nat usw.))
Die Opensense bietet im Fall eines externen WLANs aber keine wirklich sinnvolle Firewall Funktionalität für das WLAN... obwohl sie es durch den hostap Dienst könnte (wesshalb ich auch nicht verstehe, warum die Entwickler das Thema WLAN Treiber auf opensense so zögerlich behandeln) Es lässt sich mit etwas fummelei und/oder Hardwarespielereien (z.b. WLAN AP an OPT1) aber ausgleichen.

Du schaust dir da übrigends das Firewall Log an! Wenn auf der WLAN Schnittstelle keine zu loggenden Pakete eintreffen, werden sie im Firewall Log auch nicht angezeigt. Das heisst aber nicht, das sie unsichtbar sind...
Definiere dir also eine WLAN Regel die garantiert im Log aufschlägt oder schaue dir mit sockstat an welche ports offen sind oder guck dir den traffic an oder lasse vnstat laufen... nur die Firewall ist kein Paketlogger und du solltest auch funktionierende Firewallregeln "leise stellen" .. also nicht mehr loggen... weil loggen eben auch Last für den Router bedeutet. Und je weniger Last, um so besser läuft er...

Eigentlich logt man nur um Fehler zu finden oder um unerwünschtes zu erkennen... im normalfall sollte die Wall nichts melden! Aber auch das kann man in den Einstellungen passend machen - nur ist dann die anfängliche Fehlersuche schwerer. Eine Firewall die im Normalbetrieb jeden Mist logt, ist Schrott!
Ein schnelles LAN kann einige tausend Pakete/s verarbeiten und wenn jedes Paket eine Meldung erzeugen würde, wäre es fatal für den Syslog, wenn der alles wegschreiben müsste. Mal davon abgesehen, das oft genug beteiligte Dienste auch noch fleissig auf den syslog schreiben... Das Problem nennt sich "Syslog DDOS" durch logspam um eine Maschine ausser Gefecht zu setzen.

[Crossi]

danke Rolfd. :)
kurz zum besseren Verständnis. Ich hab nen WLAN Accesspoint der am bzw. im LAN hängt.
Da das Firewallthema neu ist für mich, möchte ich gern verstehen und vor allem erst mal sehen was da von meinem Netz ins Inet geht und umgekehrt. Ich lasse das auch nicht wegschreiben sondern schau mir in der Liveansicht an was da so alles passiert. Lernen und analysieren, Muster erkennen, ... So will ich mir jedes Gerät nach und nach vornehmen uns schauen was es macht. Wenn ich also mit dem Tablet ins inet gehe sollte ich doch im Liveprotokoll was sehen, da Interaktion zw. LAN und WAN stattfindet. Oder?
Und im o.g. Logauszug verstehe ich z.B. nicht warum der Router hintereinander DNS Abfragen raushaut und will wissen wer das veranlasst hat. Die Firewall selber mit seinem WAN Interface und der öffentlichen Adresse sehe ich, aber welches Gerät im LAN hat das verursacht oder macht das opnsense einfach mal eben so aus jucks und dallerei?
VG

[rolfd]

Die Vorgehensweise ist ja auch ok.
Allerdings sind die Zusammenhänge komplexer als auf einfache Ursache-Wirkungsbeziehungen zu reduzieren.
DNS Anfragen finden dauernd statt, immer dann wenn Namen zu Adressen oder Adressen zu Namen aufgelöst werden, ist der DNS beteiligt. Nicht nur wenn die Firewall selbst Aufgaben für den DNS hat, sondern auch wenn lokale Clients im Netz anfragen. Hier ein Überblick zu dns.
https://de.wikipedia.org/wiki/Domain_Name_System
DNS ist aber auch bei anderen Diensten beteiligt. Bei dhcp, client- wie serverseitig, bei msdns/avahi, als Cache/Proxy für andere Netzwerkrechner usw.,usw.
Anfragen werden weiter geleitet wenn der DNS Dienst sie nicht selbst auflösen kann... und eine Anfrage besteht meist aus mehreren Teilanfragen. Er (DNS Dienst) hangelt sich also quasi von Server zu Server durch bis er einen findet, der kompetent antwortet. Deswegen ist auch wichtig, das der Dienst einwandfrei arbeitet.
Schaltet man im Log z.B. noch die Darstellung von Servernamen ein, muss er jede zu loggende Adresse auch noch mal in ein Namen umwandeln... also weitere Anfragen... die wieder weitere Anfragen nach sich ziehen.
Irgendwann hat man eine art Kettenreaktion und der Firewallrechner beschäftigt sich mehr mit sich selbst als mit sinnvollen Anfragen von aussen. Das wäre dann ein selbst gestricktes DDOS Scenario. Spielen dann noch falsche Einstellungen eine Rolle, wirds schnell dramatisch...
Es ist also kaum möglich, einzelne DNS Anfragen oder gar 53er Datenpakete genau einem bestimmten Umstand zuzuordnen. Bei 99% der restlichen Datenpacket Typen eines Host ist das eher möglich, nur ausgerechnet beim DNS eben nicht. Um so wichtiger ist aber, das der DNS nicht von extern aus dem Netz genutzt wird. Es ist zwar unwarscheinlich aber ein Angreifer kann sich ein falsch eingestellten (von aussen zugänglichen), obendrein falsch konfigurierten DNS eben als Angriffsziel suchen und hätte damit relativ schnell Erfolg den Rechner (zb. mit Logspam) lahm zu legen...
Dass war ja deine Eingangsfrage - wichtig ist aber in dem Zusammenhang nicht das einzelne Datenpaket sondern der Gesammtzusammenhang. Demnach wäre eine Angabe über Anfragen/sek. des DNS auch sinnvoller als einzelene Datenpakete mit reverse Namen zu loggen. DNS poisoning ist auch noch ein Angriffsscenario... aber das führt hier zu weit.
Deswegen kann man an vielen Clients auch 2 DNS Server eintragen, und optimaler Weise arbeitet einer als Forwarder und einer als Resolver - wobei der Client dann auch beide ausprobiert und den jeweils schnelleren vorzugsweise nutzt. Das führt wiederum zu den beiden Verfahren, wie DNS Server arbeiten, ob sie cachen, und wenn ja was und warum... usw usw usw... über DNS gibts nicht ohne Grund viele 1000 seitige Bücher :)

[lfirewall1243]

Hi,

um erstmal zu schauen, was dein Tablet macht.

Erstell doch eine "Allow Any" Regel mit der Quell Adresse deines Tablets und schalte in der Regel die Protokollierung ein. Dann solltes du den gesamten Traffic deines Tablets im Firewall-Log sehen.

:)