OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Default Deny Rule greift, obwohl sie nicht sollte
« previous next »
  • Print
Pages: [1]

Author Topic: Default Deny Rule greift, obwohl sie nicht sollte  (Read 2131 times)

theq86

  • Sr. Member
  • ****
  • Posts: 272
  • Karma: 37
    • View Profile
Default Deny Rule greift, obwohl sie nicht sollte
« on: October 14, 2019, 10:39:21 pm »
Ich beobachte momentan, dass die default deny rule auf meinem LAN öfter mal anspringt, obwohl ich es nicht erwarten würde.
Mein LAN Interface hat eine statische IP von 10.0.0.1/24. Ich habe in der Firewall an LAN die " Default allow LAN to any rule".
Diese besagt: Aus dem LAN Network erlaube jeglichen Traffic.

Ich erwarte also, dass alles aus dem Netz 10.0.0.0/24 zum LAN Network gehört und somit ungehindert das LAN Interface passieren kann.

Dennoch werden einige Dinge geblockt und das Log sagt, es sei wegen der Default Deny Rule.

Beispiel:
10.0.0.209:57550 --> (Pfeil nach rechts im Log) 108.129.22.15:5223 (TCP)

Details:
Code: [Select]
__timestamp__ Oct 14 22:34:34
ack 230790626
action [block]
anchorname
datalen 200
dir [in]
dst 108.129.22.15
dstport 5223
ecn
id 5769
interface vtnet0
ipflags DF
label Default deny rule
length 252
offset 0
proto 6
protoname tcp
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
ridentifier 0
rulenr 14
seq 1938655:1938855
src 10.0.0.209
srcport 57550
subrulenr
tcpflags FPA
tcpopts
tos 0x0
ttl 64
urp 730
version 4

Warum wird sowas geblockt?

IDS/IPS ist im Übrigen nicht aktiviert.
« Last Edit: October 15, 2019, 10:09:48 am by theq86 »
Logged

chemlud

  • Hero Member
  • *****
  • Posts: 2485
  • Karma: 112
    • View Profile
Re: Default Deny Rule greift, obwohl sie nicht sollte
« Reply #1 on: October 15, 2019, 10:15:05 am »
Der Klassiker. Lies mal was zu out-of-state traffic... ;-)
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....

hbc

  • Hero Member
  • *****
  • Posts: 501
  • Karma: 47
    • View Profile
Re: Default Deny Rule greift, obwohl sie nicht sollte
« Reply #2 on: October 15, 2019, 10:29:15 am »
Die Frage wäre ja, wie man dem gegenwirkt.

Würde bei Firewall-Optimization eine der beiden Optionen gegenwirken?

Quote
high-latency    Used for high latency links, such as satellite links. Expires idle connections later than default
conservative    Tries to avoid dropping any legitimate idle connections at the expense of increased memory usage and CPU utilization.

Wenn man nicht gerade miesen SAT-Link hat, würde vermutlich conservative die beste Option sein. Richtig?
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR

chemlud

  • Hero Member
  • *****
  • Posts: 2485
  • Karma: 112
    • View Profile
Re: Default Deny Rule greift, obwohl sie nicht sollte
« Reply #3 on: October 15, 2019, 01:06:12 pm »
Wie heißt es so schön:

"The question is: What is a Mahna Mahna?

No, the question is: Who cares?" :-D

Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Default Deny Rule greift, obwohl sie nicht sollte
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2