Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
"Geister IP" im Live Log
« previous
next »
Print
Pages: [
1
]
Author
Topic: "Geister IP" im Live Log (Read 932 times)
kosta
Hero Member
Posts: 540
Karma: 2
"Geister IP" im Live Log
«
on:
August 06, 2023, 08:23:47 pm »
Hallo zusammen,
hier noch ein Issue.
Ich konfiguriere meine Rules neu, und konnte heute was seltsames feststellen:
Ca. jede 5sek wird ein Paket von einer nicht existierenden Adresse geblockt, und zwar an meiner Final Block Rule.
Wobei hier paar seltsame Sachen zu beobachten sind:
1) Der Subnet der IP-Adresse weicht vom Subnet des Interfaces
2) Die IP bzw. der Subnet war früher ein VLAN, bei der Neukonfiguration der Firewall wurden aber neue VLANs (auch damit neue Subnets) erstellt.
3) Erstellung Rules auf dem Interface die alles erlauben bringen nichts, die Pakete im Live Log kommen trotzdem
4) Ausgehender Port ist 3999, was nach der Analyse in Verbindung mit einem Trojaner gebracht wurde, da wurde ich schnell hellhörig
Ich habe für die Analyse absolut alles abgedreht, Server heruntergefahren, WLAN abgeschaltet. Einzig was ich nicht gemacht habe ist alle 26 Kabel am Switch gezogen. Und wegen dem Problem im anderen Thread, konnte ich ohne Switch nicht testen.
Und nachdem es Pakete auch erscheinen wenn ich die Erlaube-All-Rules erstelle, denke ich dass es an der OPNsense liegt.
Screenshot im Anhang von einem Paket, denke nicht dass das viel bringt.
Idee was das sein könnte?
Danke
Srdan
Logged
Patrick M. Hausen
Hero Member
Posts: 6831
Karma: 574
Re: "Geister IP" im Live Log
«
Reply #1 on:
August 06, 2023, 08:30:44 pm »
tcpdump -e auf dem Interface, damit kriegst du die beteiligten MAC-Adressen raus, mit den ersten 3 Bytes der Source-MAC lässt sich der Hersteller herausfinden.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
kosta
Hero Member
Posts: 540
Karma: 2
Re: "Geister IP" im Live Log
«
Reply #2 on:
August 06, 2023, 09:17:26 pm »
Hi,
hilft leider nur bedingt:
21:09:31.940692 9c:65:f9:38:6e:d1 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 114: 192.168.100.1.43627 > 192.168.100.255.3999: UDP, length 72
21:09:31.940842 00:06:78:26:25:78 (oui Unknown) > 00:1b:21:da:fe:fc (oui DCBX), ethertype IPv4 (0x0800), length 114: 192.168.100.1.43627 > 192.168.100.255.3999: UDP, length 72
9c:65:f9:38:6e:d1 -> D&M Holdings Inc. - weiß leider nicht was das sein soll.
Eine kleine Korrektur allerdings:
Ein erlaube Alles Rule, der NICHT auf LAN net begrenzt wirkt sich auf die Pakete doch aus, und sie werden durchgelassen (erscheinen nicht mehr im Log unter geblockte).
«
Last Edit: August 06, 2023, 09:29:20 pm by kosta
»
Logged
Patrick M. Hausen
Hero Member
Posts: 6831
Karma: 574
Re: "Geister IP" im Live Log
«
Reply #3 on:
August 06, 2023, 09:28:57 pm »
Tja, das ist Broadcast, deshalb taucht das auf der OPNsense auf, auch wenn die Adresse gar nicht zum Netz passt. Du hast da irgendein Gerät mit einer veralteten IP-Adresse und das posaunt da eben in der Gegend rum.
Wer sucht, der findet ;-)
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
kosta
Hero Member
Posts: 540
Karma: 2
Re: "Geister IP" im Live Log
«
Reply #4 on:
August 06, 2023, 09:56:11 pm »
Vielen lieben Dank - soeben gefunden und das Problem gelöst!
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
"Geister IP" im Live Log