externe Zugriff im Log immer über die OPNsense

Started by jinn, January 16, 2019, 02:30:28 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 16, 2019, 02:30:28 PM
Hallo zusammen,

im Log ist uns heute etwas merkwürdiges aufgefallen, Filtern wir nach unseren DHCP IP Adressen sehen wir quasi nur geblockte Verbindungen die per default deny rule geblockt werden.

Filter ich jetzt nach meiner internen IP habe ich quasi das gleiche Bild (mit ausnahme der anti-lockout rule).
Erlaubte Verbindungen werden uns immer nur mit der Source des der default Gateway IP angezeigt.

Daher ist es z.B. nicht möglich im Log nachzuverfolgen, wohin Verbindungen aufgebaut werden.
Klassisches Beispiel: Ich ping heise.de an, filter nach meiner IP Adresse und sehe den PING nicht. Filter ich nach der IP von heise.de sehe ich die PINGs, mit unserer externen IP als Source.


Bei den Logfiles ist mir außerdem aufgefallen, dass eine bestimmte externe IP alle 10-40 Sekunden unterschiedlichste Ports in unserem System prüft. Mit abuseipdb.com war schnell rauszufinden, dass wir nicht das einzige Ziel sind.
Ich habe hierfür dann einen Alias "blocked-IPs" erstellt (Typ: Host(s) und die IP Adresse eingetragen
Danach in den Firewall Rules für das Interface "allWAN" folgende Regel erstellt:
Action: Block
Interface: allWAN
TCP: IPv4
Protocol: any
Source: blocked-IPs
Destination: any

Dennoch wird die Verbindung im Log nur von der "default deny rule" geblockt
January 16, 2019, 03:10:19 PM #1
Um dazu etwas sagen zu können müsste man das ganze Regelwerk auf WAN und LAN kennen, insbesondere welche Regeln loggen und welche nicht...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 17, 2019, 08:00:02 AM #2
Quote from: chemlud on January 16, 2019, 03:10:19 PM
Um dazu etwas sagen zu können müsste man das ganze Regelwerk auf WAN und LAN kennen, insbesondere welche Regeln loggen und welche nicht...

dieser satz war entscheidend. wir haben natürlich bei keiner regel das logging aktiv gehabt  ::)
jetzt bekomme ich beim zugriff auf heise.de auch mehrere IP Adressen zurück die von meiner lokalen IP als Source angezeigt werden! Vielen dank!

Spricht etwas dagegen bei allen Regeln das Logging zu aktivieren, oder sollte man dies wirklich nur für analyse zwecke machen?
January 17, 2019, 09:47:01 AM #3
Da keiner deine Installation (Speicherplatz) und deinen Traffic kennt, kann niemand dir sagen, wie schnell dein Speicher volläuft :-D
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Print
Go Up Pages1
User actions