Pass Regel wird manchmal nicht angewendet

[SteffenDE]

Hallo,

ich bin gerade dabei auf OPNsense umzustellen und konnte bisher fast alles durch Recherche lösen. Lediglich folgendes für mich nicht nachvollziehbares Phänomen kann ich nicht lösen:

You cannot view this attachment.

Warum wird ohne irgendeine Änderung manchmal ein normaler Web Traffic nicht durch die Regel MM Internet Web Standard durchgelassen, sondern geblockt. Natürlich steht die 'MM Internet Web Standard' vor der 'MM Block IPv4 Deny all' und ist auch als Quick definiert.

Irgendeine Idee was hier mein Problem ist?

Danke.

[meyergru]

Schau Dir die Details des Blocks an. Meistens sind es out-of-state Pakete. Die können entstehen, wenn eine Verbindung in der Firewall bereits einen Timeout hatte, der Webserver aber weiterhin versucht, die bestehende TCP-Verbindung zu nutzen.

[SteffenDE]

Aja Danke, das könnte natürlich sein, kannst Du mir genau sagen woran oder wo ich das in den Details sehen kann.

You cannot view this attachment.

Kann man ggf. auch Timeouts verändern, auf meinem Router vor der OPNsense habe ich ein TCP-Aging von 1800 Sekunden.

Danke.

[meyergru]

Normalerweise sind es die ipflags, die nicht passen. Kann aber auch sein, dass die TCP-Sequence-Nummer nicht mehr passt.

Wenn man das analysieren will, muss man einen Paketmitschnitt machen und die in Wireshark importieren, dann kann man sehen, wie die Flows laufen. Ich habe das nie gemacht, solange keine Probleme auftreten. Das ist der tiefere Grund, wieso man normalerweise die Default-Block-Regel nicht protokollieren lässt.

Ich mache eher explizites Logging bei Regeln für bestimmte Blocklisten, wo ich sehen kann, welche "echten" Angriffe reinkommen.

[SteffenDE]

Alles klar + Danke.