OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest15032 on March 18, 2017, 11:42:49 am
-
Hi zusammen,
ich hatte gestern Abend an der Firewall rumgespielt und meine, bislang recht einfachen, Firewall Regeln durchgesehen und dabei auch umsortiert.
Dabei habe ich in meinen Regeln z.B. eine solche (etwas vereinfacht dargetsellte) Reihenfolge festgelegt für einen bestimmten Fall:
1. Pass - TCP - Geräte aus WLAN Gruppe (Alias) -> NAS im LAN
2. Pass - ICPM - WLAN -> LAN (um z.B. zu pingen)
3. Block - Any - WLAN -> LAN Subnetz Kommunikation (damit sonst nichts kommunizieren kann)
Hier habe ich dann einfach in den Firewall Logs dann die Kommunikation nachvollziehen wollen und gemerkt, dass mir die Einträge in den Logs nicht so ersichtlich bzw. verständlich sind, wie ich es erwartet habe. (wir hatten das Thema auch schon mal kurz in einem anderen Thread von mir angeschnitten).
Die Logs zeigen zwar immer Kommunikation im Netz, aber wenn ich z.B. nach dem entsprechenden Eintrag suche (per Filter mit z.B. der Source IP), dann waren keine Logeinträge vorhanden, die den Versuch des Zugriffs von z.B. meine Laptop auf ein NAS Gerät protokolliert hätten. Das ließ sich zwar lösen, indem ich in der entsprechenden Regel einen Haken für das Logging gesetzt hatte (danach fanden sich die Einträge in den Logs mit dem jeweiligen Pass oder Block).
Aber hier frage ich mich, warum dann wiederum einige Regeln, ohne dass ich sie speziell loggen lasse (also das Häkchen nicht setze), trotzdem in den Logs auftauchen? Z.B. ist der Zugriff meines Laptops auf das Internet (Aufruf irgendeiner Website) in den Logs vorhanden, ohne dass die Regel fürs Logging vermerkt wird. ???
Ebenfalls verstehe ich (noch) nicht so wirklich, was genau die Logs mit dem Outbound Traffic am WAN Interface sagen sollen? Denn hier erkenne ich manchmal auch nicht den Zusammenhang des Traffics zu z.B. einem Request, der am jeweiligen Interface (WLAN, LAN) geloggt wird.
Also einfach zusammengefasst: Kann mir hier bitte jemand das Logging etwas detaillierter erklären? Warum sind manche Regeln automatisch im Log, während ich andere dafür erst markieren muss?
Danke. :) Und euch allen ein schönes WE.
Gruß
Chris
-
Hey hey,
die Frage hatte mich auch beschäftigt und stark gewundert bis @JeGr mal etwas von "Default Logging" erzählte in einem anderen Thread. Schaut man sich dann in der GUI mal kurz um wird man jedoch schnell fündig.
Die Rede ist von den "Default BLOCK ANY ANY" Regeln und von den Permit Regeln die von der Firewall aus nach draußen gehen, also zum Beispiel NTP und DNS Abfragen oder die Verbindung zu den Update Servern von der Firewall ins Internet. Diese Pakete werden standardmäßig geloggt. Das kann man aber ausstellen und wenn man lustig ist, kann man sich eigene BLOCK ANY ANY Regeln schreiben und das Logging dort aktivieren (mit eigener Beschreibung) für jedes Interface am Ende der Regelkette. Wenn man dann ins Log schaut und auf das "Play Dreieck Permit" Symbol klickt, bekommt man dann auch eine ordentliche Rückmeldung die man verstehen kann (weil man sie ja selber angelegt hat). Das bedeutet wiederum aber auch, dass man sozusagen zweimal eine BLOCK ANY ANY Regel am Ende der Regelkette zu stehen hat, sozusagen "nur" für das Logging.
Im Anhang siehst du wie du das Logging einstellen kannst. :)
Schöne Grüße
Oxy
-
Hallo Oxy,
Danke, das macht durchaus Sinn. :) Ich werd da heute Abend reinschauen.
Na ja, wenn es so vorgesehen ist, dass es dieses "Default Logging" gibt, dann werde ich eher so weiter machen, wie bisher, sprich: Immer nur mal temporär das Loggen, was ich gerade benötige. Und die Defaults so belassen. Aber die Idee mit der eigenen Block ANY ANY Regel ist gut. ;)
Gruß
Chris
-
Hey hey,
das muss jeder selber entscheiden. Mir war das halt zu bunt auf Dauer, diese immer ständigen NTP und DNS Verbindungen. Da waren so viele redundante Einträge, dass mein ganzes Log geflooded war.
--> Also alles deaktiviert und jetzt so langsam nach und nach aktiviere ich bestimmte Logs für bestimmte Regeln die ich ihm Blick haben möchte wieder.
Wichtig ist ja meistens nur zu wissen, falls etwas nicht klappt, warum es nicht klappte. Wenn man dann die Default Block Regel logged sieht man auf einem Blick wo es Probleme gibt und verliert nicht den Übersicht.
Anders wäre es natürlich ebenfalls möglich viele oder alle (?) Regeln zu loggen und dann über die "Suchmaske" zu spezifizieren. Heißt in dem Fall aber auch, dass du genau wissen musst wonach du suchst. Mir fiel aber auf, dass ich oft gar nicht wusste, nach welchen Parametern ich suche. ::)
Ich glaube da muss man auch stark unterscheiden, ob die OPNsense schon fertig eingerichtet wurde und läuft oder ob man gerade noch am Netzaufbau arbeitet und ständig nachschauen muss, warum welche App und welche Tool nicht gehen. :D
Schöne Grüße
Oxy
-
Heißt in dem Fall aber auch, dass du genau wissen musst wonach du suchst. Mir fiel aber auf, dass ich oft gar nicht wusste, nach welchen Parametern ich suche.
Jap, geht mir auch so. Bzw. ich habe etwas im Sinn, das ich eigentlich erwarte zu sehen und dann fängt die Suche an... Bei einem sauberen Log definitv leichter.
Ich denke, ich schalte auch mal alle Defaults aus und versuche das ne Zeit lang.
Danke ;)
Gruß
Chris