OPNsense Forum

International Forums => German - Deutsch => Topic started by: Andreas-1202 on December 20, 2018, 08:52:56 am

Title: Firewall Neuling
Post by: Andreas-1202 on December 20, 2018, 08:52:56 am

Hi,

ich habe mal eine Frage zu dem Live view Log File
folgende Einträge sind bei mir zu finden:
    Interface       Time    Source             Destination       Proto    Label    
   wan      Dec 20 08:39:53   192.168.2.2:57441   138.201.52.246:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:53   192.168.2.2:51741   46.252.24.212:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:30253   62.26.26.22:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:36401   194.8.194.53:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:31300   151.189.23.11:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:18903   193.27.54.10:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:37318   217.11.49.200:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:50104   143.93.32.2:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:64920   217.11.49.200:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:42507   194.0.0.53:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:25317   143.93.54.7:53      udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:52   192.168.2.2:45234   192.43.172.30:53   udp      let out anything from firewall host itself   
   LAN      Dec 20 08:39:51   10.5.1.128:58602   10.5.1.100:53      udp      USER_RULE: nur UDP für DNS   
   LAN      Dec 20 08:39:51   10.5.1.128:56847   10.5.1.100:53      udp      USER_RULE: nur UDP für DNS   
   LAN      Dec 20 08:39:51   10.5.1.128:65185   10.5.1.100:53      udp      USER_RULE: nur UDP für DNS   
   wan      Dec 20 08:39:49   192.168.2.2:39175   78.153.204.30:53   udp      let out anything from firewall host itself   
   wan      Dec 20 08:39:49   192.168.2.2:35864   85.94.194.12:53      udp      let out anything from firewall host itself   
   lo0      Dec 20 08:39:49   127.0.0.1:49670   1   27.0.0.1:53         udp      pass loopback

Warum werden über ports zb. 35864 udp Verbindungen nach port 53 weitergeleitet.
Nach meines Wissens habe ich in den Firewall Regeln nur udp port 53 für DNS anfragen erlaubt.
192.168.2.2 ist meine IP für die Firewall, welche nach einer Fritzbox geschaltet wurde.

Habe ich hier evtl was falsch konfiguriert oder mache ich hier einfach nur ein gedanken Fehler?

Hier noch mal meine Regeln:

         Proto       Source             Port    Destination    Port    Gateway    Schedule    Description
         
   Proto    Source    Port   Destination    Port    Gateway    Schedule    Description
                        
erlaubt   *       *    LAN Address    443, 80    *       Anti-Lockout Rule
block    IPv6*    LAN net    *    *       *       Default block LAN IPv6 to any rule
block   IPv4+6*   !Alle_LAN_Netzwerke     *    *       *       
block   IPv4*       *    SPAMHAUS       *       
block   IPv4*       *    FirHOL       *       
erlaubt   IPv4 TCP    LAN net    *    *    WEB     *       WEB Ports
erlaubt   IPv4 UDP    LAN net    *    *    WEB_DNS     *       nur UDP für DNS


Vielleicht kan mir ja einer von euch hier behilflich sein  :-)


Andreas

Title: Re: Firewall Neuling
Post by: theq86 on January 07, 2019, 04:43:15 pm

Die Antwort ist zwar sehr spät, aber vielleicht doch interessant zu wissen.

Dafür möchte ich mal etwas ausholen:

TCP Verbidungen und UDP Datagramme benutzen als Kommunikationsendpunkte sogenannte Sockets. Im Zusammenspiel mit einem der IP Protokolle besteht ein sogenannter Endpunkt aus 2 Informationen: Einer Hostadresse und einem Port.

Um von einem Endpunkt A zum Endpunkt B zu gelangen müssen im TCP/UDP Paket 4 Informationen vorhanden sein: Quell-Adresse, Quell-Port, Ziel-Adresse und Ziel-Port.

Was du in der Regel an der Firewall frei gibst ist, dass Pakete mit einer bestimmten Zieladresse und einem bestimmten Ziel-Port durchgelassen werden. Auch die Quell-Adresse wird oft in Firewall-Regeln beschränkt.

Was ist denn jetzt aber der Quellport? Nun, ganz einfach. Es ist der Port, an dem der entfernte Rechner auf die Antwort wartet. Der Quell-Port wird meist zufällig gewählt. Wenn du zB. Google aufrufst, dann rufst du implizit den Port 443 für HTTPS auf. Das ist der Zielport, an dem Google lauscht. 443 ist aber nicht der Port, von dem aus dein Rechner die Anfrage sendet. Wäre das so, dann wären keine parallelen Anfragen über den Port mehr möglich. Deshab wird der Quellport eben meist dynamisch gewählt.

Title: Re: Firewall Neuling
Post by: chemlud on January 07, 2019, 09:46:14 pm

..hier ein paar übliche ZIELports:

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

Also Ausgang werden normalerweisei die Ports von 1024 bis 65536 verwandt. Drunter liegen die sog. Systemports.