Hi,
noch eine Anfänger-Frage...
Ich sehe im FW-Log häufig blocks die folgende Charakteristik haben: dir: [in], src: eine LAN Adresse, dst: eine Internet Adresse, action: block
Was ist das??? Default ist, dass aller Traffic aus dem LAN erlaubt ist, die IPs, die hier auftauchen sind alle möglichen Devices im lokalen Netz (Smartphones, Sonos etc.)
Die Direction "In" ergibt für mich keinen Sinn... Es müsste doch immer ein "Out" sein, oder nicht?
Beispiel
Quote__timestamp__ 2022-02-07T21:53:10
ack 273400872
action [block]
anchorname
datalen 24
dir [in]
dst 142.250.185.106
dstport 443
ecn
id 43935
interface vtnet0
interface_name lan
ipflags DF
ipversion 4
label Default deny rule
length 76
offset 0
protoname tcp
protonum 6
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
rulenr 10
seq 2583076251:2583076275
src 192.168.1.76
srcport 44034
subrulenr
tcpflags FPA
tcpopts
tos 0x0
ttl 64
urp 212
Out of state packets ;)
Findest Du sicherlich etliches zu...
Ahh... Danke für den Hinweis :-)
Also nix, worüber man sich Sorgen machen müsste. 8)
Ganz OT: Ich bin in den letzten Jahren irgendwie in so eine "Management" Rolle in der IT gerutscht und darf nur noch Kostenstellen planen, Verträge prüfen oder anderen Orga-Schaizz machen. Ich habe lange nicht mehr so viel Spaß gehabt, wie mit diesem kleinen Home-Net Projekt. :D
Ist doch schön wenn man Spaß dran hat :)
Wichtig ist an der Stelle nicht das Offensichtliche mit IPs, sondern das hier:
> tcpflags FPA
FIN, ACK, PSH. Da ist wohl eine Verbindung recht abrupt beendet worden oder es gab Nachzügler durch offene Verbindungen (Push) die noch Daten geschoben haben. Da der State aber schon gelöscht oder expired war, sind die gegen die (Brandschutz)Wand gelaufen ;)