Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Plötzlich bestehende TCP-Verbindung trotz Blacklist , FW-Regel und nicht bedienter Source-Adresse !

Mitglied: IP-PUPPI

IP-PUPPI (Level 1) - Jetzt verbinden

04.01.2018, aktualisiert 19:08 Uhr, 820 Aufrufe, 8 Kommentare, 1 Danke

Hallo zusammen ...

... seit ein paar Tagen blinkt immer wieder ein "Phänomen"auf, welches ich mir mal erklären lassen möchte.Denn ich komm nicht drauf ... wie bzw warum.

Es geht um um eine stätig(dynamisch) wiederkehrende Verbindungen an eine unterschiedliche Dst.-IP-Adresse die zwar zu meiner meiner Netze gehört, aber nicht von meinem Server vergeben wird bzw. wurde oder sich hinter meinen WAN befindet mit einem Interface befindet.Ist also in keinem meiner Pools hinterlegt.

Mein Server macht kein NAT ... verteilt also Externe IP´s an das User-Endgeräte-WAN-Interface(über PPPOE-Server).Alle aktiven Verbindungen sind in einem anderen IP-Pool.Ich nutze auch ein Transfernetz.

Weiterhin filtere ich über mein WAN einiges ... welches ich entweder droppe oder zurückweise.

Trotzdem wird einen Verbindung aufgebaut (TCP established) an unterschiedlichsten Ports an die (dynamische)Dst.-Adresse obwohl diese nicht existieren "sollte". Die Scr-Adresse(124.65.231.98) befindet sich auch in der Blacklist. Die Dst- Adresse(n) ist/sind nicht "vorhanden" ... jedenfalls nicht hinter meinem WAN. Diese ist zwar in einem meiner beiden /24 - Netze ... wird aber nicht genutzt und ist auch gar nicht eingepflegt.

Auch wenn keine Daten gesendet bzw. empfangen werden ... dürfte doch die "Verbindung" gar nicht bestehen oder irre ich da?

In diesem Fall verwerfe ich die Weiterleitung durch mein WAN-Interface und zusätzlich auch noch ein Drop an Input an das WAN-Interface direkt.

Aber trotzdem steht die Verbindung ! Warum ... oder wo liegt das "Problem" . Liegt es an der Zuordnung zum GW ... da ja im Transfernetz diese IP aus diesem Bereich ... meinem GW zu geordnet ist?

Wenn noch nähere Infos benötigt werden ... arbeite ich gern zu.

Vielleicht auch Quatsch sich damit zu befassen.Da ja nichts versendet wird! Sollte das so sein ... einfach euren Eindruck zuwerfen!

Danke
Mitglied: BassFishFox
04.01.2018, aktualisiert um 18:30 Uhr
Hallo,

Eigentlich gehoert die IP 124.65.231.98 nach China(CHINA169-BJ China Unicom Beijing Province Network, CN).

Was Du aus dieser Information machst, ist Dein Ding. Ich persoenlich wuerde die "wilde Hilde" auf alle Geraete im Netzwerk loslassen, wenn nicht zufaellig die IP oder das Netz von mir selbst vergeben wurde.

BFF
Bitte warten ..
Mitglied: IP-PUPPI
04.01.2018, aktualisiert um 18:46 Uhr
...woher bzw. wohin die IP gehört ist schon klar. Aber warum kann sie eine Verbindung aufbauen, obwohl diese in einer Blacklist ist!

Und an deinem persönlichen "loslassen" würdest du nicht mehr festhalten, wenn du Funkstrecken hättest, wo jedes Paket ,welches eh nicht gewollt
ist, als Last zu erkennen ist. Warum soll ich bitte Port Anfragen "durchbringen" ... die eh nicht bedient werden, weil das Userinterface den Port nicht
hat bzw. die gleiche Scr-Adresse alles "anlabert" ... egal ob UP oder Down ..., was ihm vor das Interface kommt. Darum gehen diese Adressen ja auch in die Blackliste ! Denn dafür gibt es diese ja. Sonst könnte ich das komplette Netz nicht so schnell betreiben.

Hier sollte man vielleicht unterscheiden ... LAN oder LAN über WLAN .

Aber Danke trotzdem!
Bitte warten ..
Mitglied: BassFishFox
04.01.2018 um 18:55 Uhr
Aber Danke trotzdem!

Bitte!

Und an deinem persönliches "loslassen" würdest du nicht mehr festhalten, wenn du Funkstrecken hättest, wo jedes Paket ,welches eh nicht gewollt

Hast Du das irgendwo in Deiner Frage erwaehnt?

Und irgendwo da oben schreibst Du:

Es geht um um eine stätig(dynamisch) wiederkehrende Verbindung an eine IP-Adresse die zwar zu meiner meiner Netze gehört, aber nicht von meinem Server vergeben wird bzw. wurde oder sich hinter meinen WAN befindet mit einem Interface befindet.Ist also in keinem meiner Pools hinterlegt.

Deswegen die "wilde Hilde". Und damit meine ich nicht einen profanen Scan irgendwelcher HDD mit Drittanbieter-Software.

BFF
Bitte warten ..
Mitglied: IP-PUPPI
04.01.2018 um 19:00 Uhr
DANKE ... mein Fehler. Ganz klar! Ich hätte "Verbindungen" schreiben sollen UND , das es nicht nur eine SCR-Adresse gibt. Sorry nochmal.
Bitte warten ..
Mitglied: aqui
04.01.2018 um 19:10 Uhr
Zeigt ja eigentlich klar das die Blacklist und die Firewall NICHT funktioniert.
Über das Warum kann man nur wild im freien Fall spekulieren ohne Details zu kennen.
Einen Eintrag in die Sessiontable zu bekommen bei entsprechenden korrekten Filterlisten ist unmöglich.
Jetzt mal einen Bug der Firewall/Router Firmware und Bedienungs- bzw. Konfig Fehler komplett ausgeschlossen.
Bitte warten ..
Mitglied: IP-PUPPI
04.01.2018, aktualisiert um 19:45 Uhr
... sehe ich auch so. Folgendes ist hinterlegt :

add action=drop chain=forward comment="Dropt IP aus Blacklist" in-interface=sfp1 src-address-list=Blacklist
´
Aufkommen momentan 2.3Gb (70Tage)

Aufgenommen werden diese über :

add action=add-src-to-address-list address-list=Blacklist address-list-timeout=30m chain=forward dst-address-list=ExternesNetz-DROP in-interface=sfp1 src-address-list="Blacklist-Versuch 3"
add action=add-src-to-address-list address-list="Blacklist-Versuch 3" address-list-timeout=30s chain=forward dst-address-list=ExternesNetz-DROP in-interface=sfp1 src-address-list="Blacklist-Versuch 2"
add action=add-src-to-address-list address-list="Blacklist-Versuch 2" address-list-timeout=20s chain=forward dst-address-list=ExternesNetz-DROP in-interface=sfp1 src-address-list="Blacklist-Versuch 1"
add action=add-src-to-address-list address-list="Blacklist-Versuch 1" address-list-timeout=10s chain=forward dst-address-list=ExternesNetz-DROP in-interface=sfp1 src-address-list=!Blacklist

Interface Sfp1 ist WAN. Alle anderen Sfp - Interface sind in einer Bridge. Welche vom Radius bedient wird.

Und genau die IP-Adresse die ich nicht bediene, nicht nutze oder eingepflegt habe ... befinden sich in der Liste "ExternesNetz-Drop.

Also alle SCR-Adressen , die sich an IP-Adresse wenden... die es eh nicht gibt(weil nicht verwendet) ... werde weitergereicht.
Je öffter sie sich "melden" ... desto weiter geht es nach oben ... bis sie schließlich in der Blacklist für 30min landen.

Wo könnte ich noch suchen ... denn an einem 2. Server (anderer Standort) läuft es sehr sauber und das über ein Jahr schon.
Bitte warten ..
Mitglied: the-buccaneer
05.01.2018 um 01:28 Uhr
Hi!

Jetzt mal völlig ins Blaue... Einen Reboot der Firewall (welche überhaupt) hast du gemacht?

Aber schon mit einer standardmässigen default- Regel, die alles droppt, was nicht angefragt ist, sollten diese States nicht existieren, soweit mein Halbwissen reicht... Mit der Blacklist erst recht.

Bist du evtl. hinter einer dynamischen öffentlichen IP? Könnte es von daher sein, dass die Source-Adresse einfach nur nach einem IP-Wechsel versucht, ihren Counterpart noch bei dir zu erreichen, da ein Update im DNS fehlt?

Trotzdem: Ich verstehe dein Problem. Deine Firewall hat einen State zu einer IP die nicht existiert. Seltsam...

Buc
Bitte warten ..
Mitglied: IP-PUPPI
05.01.2018, aktualisiert um 09:15 Uhr
... Guten Morgen Buc ...

ein klares "Nein". Die Server-IP am SFP1 ist statisch. Im Pool, zur Verteilung über den Radius liegt eine externes /23 Netz.

Aus diesem /23 Netz sind aber nicht alle vergeben ... vor allem nicht die, die ein Connect aufzeigt. Dst-Adresse ist xx.xxx.125.xx
und vergeben sind bisl mehr al 230 IPs aus mit xx.xxx.124.xxx. Mehr nicht !Bin also nicht im 125er !

Und ... die Scr-Adresse steht auch in der Blacklist!
blacklist - Klicke auf das Bild, um es zu vergrößern
connect - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Tcp port geht nicht trotz deaktivierter FW

gelöst Frage von franksigLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich benötige für eine Software den Port 102 auf einem Rechner ich verwende ein Tool Names Portping ...

E-Mail

SPAM - Blacklist

gelöst Frage von uhle66E-Mail15 Kommentare

Hallo, In unserer Firma haben wir einen Exchange 2010 Server, der über eine Firewall und der damit verbundenen Emailsecurity ...

E-Mail

Blacklist Konfiguration 1und1

Frage von schleipaE-Mail2 Kommentare

Hallo zusammen, ich administriere nebenbei noch einen kleines Unternehmen mit 5 Angestellten. Die E-Mail-Postflächer liegen bei 1und1. Es handelt ...

LAN, WAN, Wireless

Pfsense Blacklist für Gästenetz

gelöst Frage von Kubus0815LAN, WAN, Wireless8 Kommentare

Hallo zusammen, Ich habe nach der Anleitung von Aqui meine FW mit PFsense und Gästenetz aufgebaut. Nun möchte ich ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 3 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Windows 10

Microsoft macht Bluetooth absichtlich kaputt: Windows 10 Update blockiert Bluetooth-Verbindungen zu Android

Tipp von 1Werner1 vor 3 TagenWindows 107 Kommentare

Moin, jetzt spinnt MS total , was muss ich da auf Chip.de lesen: Auch im Juni schließt Microsoft im ...

Soziale Netzwerke

Facebook - künftig ohne Account des Bundeslandes Sachsen-Anhalt

Information von VGem-e vor 4 TagenSoziale Netzwerke3 Kommentare

Servus, mal sehen, ob andere öffentliche Einrichtungen folgen wollen/können Gruß

Humor (lol)
Facebook Mailer auf NIX-Spamlist
Information von Henere vor 4 TagenHumor (lol)

Eben aus dem Log meines Postfix gefischt. Recht haben Sie. FB ist SPAM :-) lachende Grüße, Henere

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner30 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Router & Routing
Synology NAS in anderem Subnetz nicht erreichbar
Frage von Tech1KonniRouter & Routing25 Kommentare

Hallo Leute, ich bin Software-Entwickler und daher auch etwas bewandert in den Grundkenntnissen der Netzwerktechnik. Aktuell habe ich allerdings ...

Netzwerke
Zugriff auf mehrere Clients via RDP
Frage von xXMariusXxNetzwerke12 Kommentare

Moin, ich würde gerne auf mehrere Clients in einem Netzwerk via RDP zugreifen. Gibt es eine elegantere Lösung als ...

Ubuntu
Notfall - VMs sind alle runtergefahren
gelöst Frage von JohnWorksUbuntu12 Kommentare

Hallo Zusammen, ich habe einen kleinen Notfall und zwar sind alle VMs runtergefahren. Ich dachte erst an den Speicherplatz ...