hell.yeah
Goto Top

PfSense default deny rule IPv4

Hallo face-smile

1. Ich beschäftige mich gerade mit meinen Reolink-Kameras.
2. Diese haben einen Push-Service (P2P via UDP), der nach Firmware-Updates nicht mehr funktioniert. Das war abzusehen, da dieser Service ohne UID seitens Reolink angekündigt wurde.
3. Auf den folgenden Bildern seht ihr meine Regeln für das Kamera-VLAN und einen Auszug aus dem Logfile.
- Info zu Alias "Reolink_P2P_Server": enthält nur die IP: 15.188.197.53 (die geblockt wird).
- Zusätzlich habe ich pfBlocker mit einigen Filtern und Geo-Blocks aktiv.
4. Da aber die Regel "Default deny rule IPv4 (1000000103)" blockiert, wollte ich kurz höflich fragen, wo ich diese Regel finde beziehungsweise wo ich das ändere.
5. Danke für jeden Tipp.

Content-Key: 11267625483

Url: https://administrator.de/contentid/11267625483

Printed on: May 30, 2024 at 12:05 o'clock

Member: SlainteMhath
SlainteMhath Apr 16, 2024 at 08:49:02 (UTC)
Goto Top
Moin,

6. Deine Anhänge (Bilder und Logfiles fehlen)
7. Eine "Default deny Rule" ist ein sog. implizites deny, d.h. eine Regel die dann greift, wenn vorher keine andere Regel den Traffic erlaubt hat. Bei "anständigen" Firewalls ist das immer die letzte Regel in der Chain und nicht veränder-/deaktivierbar.

lg,
Slainte
Member: hell.yeah
Solution hell.yeah Apr 16, 2024 at 09:01:48 (UTC)
Goto Top
Klassiker :D

brave_sodfftpl7u
brave_7qorewrzuq
Member: hell.yeah
hell.yeah Apr 16, 2024 updated at 09:20:37 (UTC)
Goto Top
Als ich die Fotos gepostet habe, hab ich es bemerkt :/
das kleine ! bei Reolink_P2P_Server íst weg....
Ich habe unabsichtlich "Invert match" aktiviert gehabt...

Habe jetzt keinen Block in der Logfile mehr, aber der Push Dienst funktioniert noch immer nicht
Member: radiogugu
radiogugu Apr 16, 2024 at 09:41:55 (UTC)
Goto Top
Mahlzeit.

Was sagt denn ein Paket-Mitschnitt auf der PFSense und anschließender Analyse in Wireshark?

Gruß
Marc
Mitglied: 12168552861
12168552861 Apr 16, 2024 updated at 11:29:08 (UTC)
Goto Top
Zitat von @hell.wien:
Habe jetzt keinen Block in der Logfile mehr, aber der Push Dienst funktioniert noch immer nicht
Der Push Dienst verwendet eine andere Domain pushx.reolink.com

Und für PnP mehrere Domains
p2p(1-15).reolink.com Port 9999 UDP
Member: aqui
aqui Apr 16, 2024 updated at 11:31:27 (UTC)
Goto Top
Nur nebenbei: mDNS zu blocken ist unsinnig, denn das sind bekanntlich Link Local Multicast Adressen mit einem TTL von 1 die so oder unroutebar sind.
Abgesehen davon wird Multicast Traffic generell durch die Firewall geblockt sofern die "IP Options" in den Advanced Settings des Ruleset nicht aktiviert sind was im Default nicht der Fall ist.
mcrule
Diese überflüssige Regel kannst du also getrost löschen.

OT: Wie man mDNS handhabt auf der pfSense erklärt dieser Thread.
Member: hell.yeah
hell.yeah Apr 16, 2024 updated at 17:55:13 (UTC)
Goto Top
Anfangs war nur die 15.188.197.53 in der Log, kurz darauf die 35.180.44.63, also dachte ich das sind die P2P Push Server.

Also müsste es ausreichen wenn ich in der Aliases Liste pushx.reolink.com eintrage ausreichen oder?

@aqui. Dich würde ich mal am liebsten einen Tag einladen das du dir meine Firewall/Netzwerk ansiehst :D
Ich glaub ich hab damals diese Regel erstellt weil in diesem VLAN die Chinesen Hausen... Aber so ganz genau weiss ich das nicht mehr warum es diese gibt
Member: hell.yeah
hell.yeah Apr 21, 2024 at 08:41:44 (UTC)
Goto Top
Guten Morgen,

ich muss mich leider nochmal an euch melden.
Habe vorhin mal eine Allow Any Regel erstellt, trotzdem greift noch immer die Default deny rule IPv4 (1000000103) Regel und Blockt.

Hat das vielleicht mit der folgenden Error zu tun?

Danke und einen schönen Sonntag

brave_liks3qwuzy
brave_i8c7beuomc
Member: aqui
aqui Apr 21, 2024 updated at 09:42:01 (UTC)
Goto Top
Was bitte sehr ist eine "(1000000103) Regel"??? 🤔
Und die Fehlermeldungen lassen nichts Gutes erahnen. face-sad Memory Allocation Error klingt eher nach was deutlich Gravierendem im Backend....
Flash löschen und FW neu aufsetzen...
Member: hell.yeah
hell.yeah Apr 21, 2024 at 10:13:06 (UTC)
Goto Top
Damit meine ich das oben genannte Problem…
Durch die Scheunentor Rule dürfte ja eigentlich nichts mehr geblockt werden. Kommt mir komisch vor.

Das klingt gar nicht gut 🫨 (im Moment nicht machbar, bin in Ausland)
Was könnte so einen Fehler verursachen? Kann pfBlocker Ng der Grund sein?
Member: aqui
aqui Apr 21, 2024 at 12:04:57 (UTC)
Goto Top
Scheunentor Rule hast du ja nicht, das wäre "any any". Du erlaubst lediglich alles was an IP Traffic von 192.168.30.13 kommt. Gut, wenn das dein einziger Host in dem Segment ist hat das natürlich den gleichen Effekt.
Geblockt kann dann nur noch etwas werden was der pfBlocker im Hintergrund dynamisch adaptiert. Somit könnte das in der Tat ggf. der Fehler sein.
Was sagt denn das Blocking Log?
Dennoch sollten dir die Memory Allocation Fehler schwer zu denken geben. Normal ist sowas nicht.
Member: hell.yeah
hell.yeah Apr 21, 2024, updated at Apr 23, 2024 at 17:35:39 (UTC)
Goto Top
@aqui: Da hast du recht, ich wollte damit ausdrücken das ich für "Debug" Zwecke den Host (Kamera) alles erlaube...

Welche Blocking Log meinst du jetzt? Status/System/Logs/Firewall/Normal View (filter: 192.168.30.13)?? oder Allgemein?

Die bleibt mit gesetzten Filter leer. Dürfte also nichts mehr Blocken.

In den Rules sehe ich das es einen State gibt:
VIDEOUEBERWACHUNG udp 192.168.30.13:38547 -> 35.180.44.63:58200 MULTIPLE:MULTIPLE 15 / 3 3 KiB / 507 B

aber Funktionieren tut es trotzdem nicht

Hab schon etwas länger immer wieder diesen Memory Allocation Fehler, vl drehe ich mal pfBlocker NG komplett aus. Um es einzugrenzen, dann sehen wir weiter.
Reicht es dazu aus unter Firewall/pfBlockerNG/ pfBlockerNG Enable auf OFF stelle?
Eigenartigerweise kann ich meine Fw nicht auf die neuerste Version Updaten:
Des weiteren habe ich zu diesem Wert eine frage? Würde es helfen den FW Maximum Table Entries zu verändern?
brave_xvhpiffokt

brave_4ogbg8ry8w
brave_hyg8286qog
Member: aqui
aqui May 02, 2024 at 11:52:57 (UTC)
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
How can I mark a post as solved?
Member: hell.yeah
hell.yeah May 11, 2024 at 06:19:01 (UTC)
Goto Top
@qui, habe den Thread noch offen gelassen, weil ich ein Update geben wollte.

Habe die FW Maximum Table Entries Size verdoppelt, bekomme jetzt keine "Memory Allocation Error" mehr.