Hey,
ich versuche schon seit einiger Zeit die TCP Flag Blockierungen (TCP:RA, TCP:FA, usw.) aus meinen LOG's zu beseitigen. Jedoch komme ich hier nicht wirklich weiter.
Nach meinen Recherchen mit Hilfe von Google habe schon einmal heraus gefunden, dass dies keine aktiven Verbindungen sind, die hier blockiert werden. Sondern lediglich Datenpakete von bereits geschlossenen Verbindungen verworfen werden. (?)
Leider ist mein Englisch nicht das beste, wodurch ich die gefundenen Texte dazu nur teilweise richtig verstehe..
Sollte es sich wirklich nur um Pakete von bereit geschlossenen Verbindungen handeln, möchte ich diese Einträge gerne aus den LOG's (Firewall -> Protokolldatein -> Standardansicht) entfernen.
Falls es jedoch auch aktive Verbindungen sind, würde ich gerne wissen, warum diese blockiert werden und das Problem beseitigen.
Grüße & Danke
Crystallic
...wieder auf Englisch, aber das bildet ja ;-)
https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection
Durch den Artikel bin ich dazu gekommen, dass es sich nur um Datenpakete von geschlossenen Verbindungen handelt.
Kannst du mir sagen, wie ich dafür sorgen kann, dass diese nicht mehr in den LOG's auftauchen?
Also damit meine ich nicht die LOG-Datein in denen alles auftaucht, sondern untern dem Bereich "Firewall -> Protokolldatein -> Standardansicht"
No way, da der Traffic "out-of-state" ist wird er auch legitim geblockt und taucht im Log auf. Was du machen kannst ist die logs nach für dich interessanten Dingen aktiv zu durchsuchen. Aber das hängt stark von deinem Netz und deinen Regeln ab. Intrusion detection/prevention (suricata) ist auch immer eine wichtige Option, wenn es dir stark um Sicherheit geht...
Ok, danke für die Hilfe.
Es ging mir hauptsächlich darum, dass diese Flags nicht mehr das Protokoll so voll spammen.
Dann werde ich wohl damit leben müssen.