Hilfe bei Firewall Rule-Planung

[Gauss23]

Du kannst mal auf das kleine "i" in der Zeile bei den geblockten Paketen nachschauen. Da siehtst Du z.B. die TCP Flags. Evtl ist das einfach unsauberer Traffic.

[JeGr]

Jap genau. Mal genauer schauen WAS da geblockt wird, bspw. mal die Flags. Ist zwar TCP/443 aber das heißt ja nicht, dass das da Syn Pakets sind die geblockt werden (Verbindungsaufbau), das kann genausogut auch out-of-state Traffic sein, wenn das Gerät die Verbindung schon beendet hat, aber trotzdem noch (verspätet) Antworten vom Server eintrudeln, die dann nicht mehr auf den State matchen (da closed) und daher geblockt werden (weil flag P,F,FP oder sowas hat)

[kosta]

Das kommt dabei raus:

__timestamp__   Feb 15 19:39:42
ack   3854972061
action    [block]
anchorname   
datalen   24
dir    [in]
dst   17.248.147.206
dstport   443
ecn   
id   0
interface   igb0_vlan130
interface_name   WLAN_Mobile
ipflags   DF
label   Default deny rule
length   76
offset   0
proto   6
protoname   tcp
reason   match
rid   02f4bab031b57d1e30553ce08e0ec131
ridentifier   0
rulenr   15
seq   438595397:438595421
src   192.168.130.4
srcport   63184
subrulenr   
tcpflags   FPA
tcpopts   
tos   0x0
ttl   64
urp   1024
version   4

[kosta]

Mittlerweile sind es auch andere Handys. Aus irgendeinem Grund war vorher nur der eine. Jetzt melden sich auch die iPhones. Flags sind immer DF.

[Gauss23]

Mittlerweile sind es auch andere Handys. Aus irgendeinem Grund war vorher nur der eine. Jetzt melden sich auch die iPhones. Flags sind immer DF.

Flag ist FPA (tcpflags).

Dazu:
https://forum.netgate.com/topic/36362/log-shows-tcp-fa-tcp-fpa-blocked-from-lan

Kurz: es handelt sich um out-of-state Traffic.

[kosta]

Danke für die Aufklärung.