5
PfSense Firewall Log - Unbekannte Aktivitäten
Hallo,
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)
Folgende Konfiguration:
Internet --> PfSense ---> Internes LAN/WLAN
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Danke und Gruß
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)
Folgende Konfiguration:
Internet --> PfSense ---> Internes LAN/WLAN
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235317
Url: https://administrator.de/contentid/235317
Ausgedruckt am: 01.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo ,
ist mit den duerftigen Angaben nicht zu beantworten.
Wie ist pf konfiguriert ? Was sagen die Auth.log Dateien ?
Die Aufzaehlung von ipv4 zu ipv6 kann auch systembedingt sein.
Gruss
ist mit den duerftigen Angaben nicht zu beantworten.
Wie ist pf konfiguriert ? Was sagen die Auth.log Dateien ?
Die Aufzaehlung von ipv4 zu ipv6 kann auch systembedingt sein.
Gruss
Zitat von @NetworkUser:
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.
Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.
ein paar beispiele könnten Licht ins dunkel bringen.
Kann mir jemand sagen woher diese Block-Einträge stammen?
Von Geräten in Deinem LAN/WLAN?
Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)
Fast? Außerdem haben MS-produkte oft eigene Ansichten darüber, welche Protokolle sie benutzen.
Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.
Über die SuFu bin ich leider nicht fündig geworden.
Dann mal "Butter bei die Fische". Welche IP-Adressen sind denn "nicht in Deinem Netz"?
lks
Hallo,
die Firewall wurde lediglich für OpenVPN konfiguriert inkl. Firewallregeln. (Erstellt mit Hilfe des Wizards)
Folgende Zeile aus dem Firewall Log:
block LAN 0.0.0.0 224.0.0.1 IGMP
Dazu kommen noch einige Einträge, welche immer von Geräten ausgehen, welche sich im LAN befinden. (Ich gehe davon aus, dass diese "Nach-Hause-telefonieren" wollen.)
Danke und Gruß!
die Firewall wurde lediglich für OpenVPN konfiguriert inkl. Firewallregeln. (Erstellt mit Hilfe des Wizards)
Folgende Zeile aus dem Firewall Log:
block LAN 0.0.0.0 224.0.0.1 IGMP
Dazu kommen noch einige Einträge, welche immer von Geräten ausgehen, welche sich im LAN befinden. (Ich gehe davon aus, dass diese "Nach-Hause-telefonieren" wollen.)
Danke und Gruß!
Das sind Multicast Querier Pakete, das siehst du ja schon an der 224.0.0.1er IP Ziel Adresse !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !
1
Hallo,
danke für den Tipp. Klasse Es war doch ein System im LAN!
Mittels Paket Sniffer von PfSense habe ich den Übeltäter erwischt und konnte den Multicast auf dem entsprechenden System deaktivieren.
Jetzt sieht das Log doch schon viel besser aus!
Nochmal vielen, vielen Dank für die schnelle und kompetente Hilfe!
Gruß
danke für den Tipp. Klasse
Es war doch ein System im LAN!Mittels Paket Sniffer von PfSense habe ich den Übeltäter erwischt und konnte den Multicast auf dem entsprechenden System deaktivieren.
Jetzt sieht das Log doch schon viel besser aus!
Nochmal vielen, vielen Dank für die schnelle und kompetente Hilfe!
Gruß
