PfSense Firewall Log - Unbekannte Aktivitäten
Hallo,
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)
Folgende Konfiguration:
Internet --> PfSense ---> Internes LAN/WLAN
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Danke und Gruß
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)
Folgende Konfiguration:
Internet --> PfSense ---> Internes LAN/WLAN
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235317
Url: https://administrator.de/forum/pfsense-firewall-log-unbekannte-aktivitaeten-235317.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @NetworkUser:
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.
ein paar beispiele könnten Licht ins dunkel bringen.
Kann mir jemand sagen woher diese Block-Einträge stammen?
Von Geräten in Deinem LAN/WLAN?
Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Fast? Außerdem haben MS-produkte oft eigene Ansichten darüber, welche Protokolle sie benutzen.
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Über die SuFu bin ich leider nicht fündig geworden.
Dann mal "Butter bei die Fische". Welche IP-Adressen sind denn "nicht in Deinem Netz"?
lks
Das sind Multicast Querier Pakete, das siehst du ja schon an der 224.0.0.1er IP Ziel Adresse !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !