3
Pfsense - Firewall blockert rootserver und suricata erzeugt invalid checksum
Ich erhalte unmengen von Alerts in der Firewall und in suricata:
192.168.178.1 ist das GW
192.168.178.23 der WAN Port der pfsense
Unter Status/Systemprotokollierung/Firewall/Normale Ansicht:
werden die DNS ROOT Server blockiert. Ist das normal, bzw. warum werden diese blockiert, oder ist es gut so?
Dienste/Suricata/Alerts
3 UDP SRC: 192.168.178.23 PORT:43660 DST: 192.168.178.1 PORT:53 SURICATA UDPv4 invalid checksum192.168.178.1 ist das GW
192.168.178.23 der WAN Port der pfsense
Unter Status/Systemprotokollierung/Firewall/Normale Ansicht:
UDP ► WAN Block snort2c hosts (1000000119) 192.168.178.23:54548 193.0.14.129:53
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 523683
Url: https://administrator.de/contentid/523683
Printed on: April 26, 2024 at 21:04 o'clock
3 Comments
Latest comment
Moin,
du musst deine localen Subnetze als Ausnahmen eintragen. Dafür gibt es extra einen Punkt in der Interface Konfig recht weit unten. Da sind drei Punkte wo Liste geführt werden.
Edit: Hier der der Bereich den du anpassen musst: "Choose the Networks Snort Should Inspect and Whitelist". //In deinem Fall Suricata.
Die DNS Server werden geblockt da irgend eine Regel da greift. Musst du als Ausnahmen definieren. Dazu genauer nachvollziehen woher der block kommt. Da spielen irgend welche Snort regeln rein.
Genauer kann ich gerade nicht beschreiben wie das geht. Dafür muss später selbst schauen.
Gruß
Spirit
du musst deine localen Subnetze als Ausnahmen eintragen. Dafür gibt es extra einen Punkt in der Interface Konfig recht weit unten. Da sind drei Punkte wo Liste geführt werden.
Edit: Hier der der Bereich den du anpassen musst: "Choose the Networks Snort Should Inspect and Whitelist". //In deinem Fall Suricata.
Die DNS Server werden geblockt da irgend eine Regel da greift. Musst du als Ausnahmen definieren. Dazu genauer nachvollziehen woher der block kommt. Da spielen irgend welche Snort regeln rein.
Genauer kann ich gerade nicht beschreiben wie das geht. Dafür muss später selbst schauen.
Gruß
Spirit
hi,
die Frage ist ja erst mal soll man die rootserver immer erlauben? Falls ja kann ich direkt bei suricata auf das rote Kreuz klicken um diese IP nicht mehr zu blocken.
Dieses invalid checksum verstehe ich aber nicht
die Frage ist ja erst mal soll man die rootserver immer erlauben? Falls ja kann ich direkt bei suricata auf das rote Kreuz klicken um diese IP nicht mehr zu blocken.
Dieses invalid checksum verstehe ich aber nicht
Die root Server kannst du erlauben. Sind aber irgendwie 15 Stück. Eigentlich sollten die nicht geblickt werden.
Die Checksum Fehler sind auch normal. Ich habe bei Suricata eine Ausnahme angelegt. Tragisch ist ganze aber nicht. Kann eigentlich auch verworfen werden. Ich könnte mir vorstellen das es sich um fehlerhafte IP Pakete handelt.
Die Checksum Fehler sind auch normal. Ich habe bei Suricata eine Ausnahme angelegt. Tragisch ist ganze aber nicht. Kann eigentlich auch verworfen werden. Ich könnte mir vorstellen das es sich um fehlerhafte IP Pakete handelt.