Author Topic: Suricata blockt ohne Eintrag (Read 4243 times)

lenny · « **on:** September 21, 2020, 10:40:25 am »

Hi,
ich habe meine OPN u.a. für die Trennung der Server, DMZ und LAN...
nun habe ich in der DMZ einen Server in Proxmox laufen.

Suricata ist in WAN, DMZ und Servernetz aktiv.

Der Server in der DMZ wird regelmäßig wohl durch Suricata blockiert, bekommt keine IP per DHCP usw...
In den Alarmmeldungen oder im Protokoll steht hierüber nichts.
Wenn Suricata auf der OPN deaktiviert wird, funktioniert wieder alles tadellos. So bin ich nach vielen Std auf Suricata gekommen...

Was kann man tun? Im Log finde ich wie gesagt überhaupt nichts, um dieses Problem irgendwie zu greifen.

mimugmail · « **Reply #1 on:** September 21, 2020, 10:52:22 am »

Das hört sich für mich danach an dass die Karte/Treiber mit netmap (IPS mode) nicht kompatibel ist.

lenny · « **Reply #2 on:** September 21, 2020, 10:53:43 am »

Hi,

Intel e1000 Treiber, wie auf den anderen Interfaces auch

mimugmail · « **Reply #3 on:** September 21, 2020, 11:13:10 am »

Also es schlagen keine Regeln and und im Log der Console ist auch nichts zu sehen?

lenny · « **Reply #4 on:** September 21, 2020, 03:28:17 pm »

Genau, und es gibt keine Verbindung. Sobald der Dienst deaktiviert wird, funktioniert es sofort.

mimugmail · « **Reply #5 on:** September 21, 2020, 03:42:03 pm »

Und im IDS mode geht es auch oder?

lenny · « **Reply #6 on:** September 21, 2020, 03:43:32 pm »

Hab ich ehrlich gesagt noch nicht probiert, aber wäre es Mal Wert zu probieren

franco · « **Reply #7 on:** September 21, 2020, 04:19:44 pm »

Vielleicht sind es auch nur die Hardware Features die unter Interfaces: Settings abgestellt werden müssen (v.a. CRC).

Grüsse
Franco

lenny · « **Reply #8 on:** September 22, 2020, 09:11:33 am »

Die drei sind auch alle deaktiviert.
Habe es jetzt mal ohne IPS aktiv und gucke mal, was passiert...

lenny · « **Reply #9 on:** September 22, 2020, 09:28:40 am »

EDIT:
Hab noch was gefunden, als ich die Erweiterten Einstellungen öffnete.
HEIMNETZE. Dort fehlt das Netz der DMZ. LAN/VPN/WLAN war eingetragen. Server fehlte jedoch auch.

Was bewirkt diese Einstellung?

mimugmail · « **Reply #10 on:** September 22, 2020, 09:32:03 am »

Damit die Regeln auch korrekt greifen.

mimugmail · « **Reply #11 on:** September 22, 2020, 09:32:49 am »

https://www.youtube.com/watch?v=lgL20apoJ2U

lenny · « **Reply #12 on:** September 22, 2020, 02:42:11 pm »

Hab die Netze mal zugefügt und bisschen Last erzeugt. Wieder Netzwerkverbindung getrennt.
Suricata deaktivert. Sofort wars wieder da.

Verstehe es echt nicht.

mimugmail · « **Reply #13 on:** September 22, 2020, 02:49:09 pm »

Schau mal auf die Konsole was die sagt.
Ich hatte das mit 20.1 und ner alten X710 Karte, die hat dann einfach dicht gemacht.
Oder wenn du auf einem VLAN parent filterst aber offloading aktiv hast.

lenny · « **Reply #14 on:** September 23, 2020, 07:27:05 am »

Leider ohne Erfolg.
Vor allem verstehe ich nicht:
es sind vier identische NIC, auf drei NIC läuft Suricata. und auf einer wird die Verbindung kommentarlos blockiert.

Author Topic: Suricata blockt ohne Eintrag (Read 4243 times)

lenny

Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

franco

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag

mimugmail

Re: Suricata blockt ohne Eintrag

lenny

Re: Suricata blockt ohne Eintrag