Hallo zusammen
Wir haben seit dem Update auf die 24.* das Phänomen, dass eine unserer eigenen IPs (externer Server) durch die Intrusion Detection geblockt wird.
Ich kann es genau darauf eingrenzen.
Stoppe ich den Service -> Zugriff ist möglich
Starte ich den Service -> Zugriff geblockt
Erfasse ich unter Intrusion Detection -> Administration -> User defined -> eine Ausnahme für diese IP => Zugriff möglich
Mein Problem ist nun, dass ich nirgends finde, dass diese IP geblockt wurde. In den Firewall Logs sehe ich auf dem entsprechenden Port "passed" (Die Firewall hat auch eine Allow-Regel für diese IP).
Nur in den Logs und auch in den Alerts der Intrusion Detection Engine sehe ich nichts.
Mache ich etwas falsch? Schaue ich am falschen Ort? Hat jemand eine Idee?
Ich wüsste gerne wieso diese IP (gehört uns) geblockt wird auf einmal.
Beste Grüsse
M
Konnte die Logs nun im Filesystem finden und die eve.json wird geschrieben. Was mich allerdings verwundert ist, wieso es nicht in Opnsense angezeigt wird (die Logs), obwohl ich die Haken entsprechend gesetzt habe (inkl. Löschen der alten Logs + Neustart).
Jemand eine Idee?