Plötzlich bestehende TCP-Verbindung trotz Blacklist , FW-Regel und nicht bedienter Source-Adresse !
Hallo zusammen ...
... seit ein paar Tagen blinkt immer wieder ein "Phänomen"auf, welches ich mir mal erklären lassen möchte.Denn ich komm nicht drauf ... wie bzw warum.
Es geht um um eine stätig(dynamisch) wiederkehrende Verbindungen an eine unterschiedliche Dst.-IP-Adresse die zwar zu meiner meiner Netze gehört, aber nicht von meinem Server vergeben wird bzw. wurde oder sich hinter meinen WAN befindet mit einem Interface befindet.Ist also in keinem meiner Pools hinterlegt.
Mein Server macht kein NAT ... verteilt also Externe IP´s an das User-Endgeräte-WAN-Interface(über PPPOE-Server).Alle aktiven Verbindungen sind in einem anderen IP-Pool.Ich nutze auch ein Transfernetz.
Weiterhin filtere ich über mein WAN einiges ... welches ich entweder droppe oder zurückweise.
Trotzdem wird einen Verbindung aufgebaut (TCP established) an unterschiedlichsten Ports an die (dynamische)Dst.-Adresse obwohl diese nicht existieren "sollte". Die Scr-Adresse(124.65.231.98) befindet sich auch in der Blacklist. Die Dst- Adresse(n) ist/sind nicht "vorhanden" ... jedenfalls nicht hinter meinem WAN. Diese ist zwar in einem meiner beiden /24 - Netze ... wird aber nicht genutzt und ist auch gar nicht eingepflegt.
Auch wenn keine Daten gesendet bzw. empfangen werden ... dürfte doch die "Verbindung" gar nicht bestehen oder irre ich da?
In diesem Fall verwerfe ich die Weiterleitung durch mein WAN-Interface und zusätzlich auch noch ein Drop an Input an das WAN-Interface direkt.
Aber trotzdem steht die Verbindung ! Warum ... oder wo liegt das "Problem" . Liegt es an der Zuordnung zum GW ... da ja im Transfernetz diese IP aus diesem Bereich ... meinem GW zu geordnet ist?
Wenn noch nähere Infos benötigt werden ... arbeite ich gern zu.
Vielleicht auch Quatsch sich damit zu befassen.Da ja nichts versendet wird! Sollte das so sein ... einfach euren Eindruck zuwerfen!
Danke
... seit ein paar Tagen blinkt immer wieder ein "Phänomen"auf, welches ich mir mal erklären lassen möchte.Denn ich komm nicht drauf ... wie bzw warum.
Es geht um um eine stätig(dynamisch) wiederkehrende Verbindungen an eine unterschiedliche Dst.-IP-Adresse die zwar zu meiner meiner Netze gehört, aber nicht von meinem Server vergeben wird bzw. wurde oder sich hinter meinen WAN befindet mit einem Interface befindet.Ist also in keinem meiner Pools hinterlegt.
Mein Server macht kein NAT ... verteilt also Externe IP´s an das User-Endgeräte-WAN-Interface(über PPPOE-Server).Alle aktiven Verbindungen sind in einem anderen IP-Pool.Ich nutze auch ein Transfernetz.
Weiterhin filtere ich über mein WAN einiges ... welches ich entweder droppe oder zurückweise.
Trotzdem wird einen Verbindung aufgebaut (TCP established) an unterschiedlichsten Ports an die (dynamische)Dst.-Adresse obwohl diese nicht existieren "sollte". Die Scr-Adresse(124.65.231.98) befindet sich auch in der Blacklist. Die Dst- Adresse(n) ist/sind nicht "vorhanden" ... jedenfalls nicht hinter meinem WAN. Diese ist zwar in einem meiner beiden /24 - Netze ... wird aber nicht genutzt und ist auch gar nicht eingepflegt.
Auch wenn keine Daten gesendet bzw. empfangen werden ... dürfte doch die "Verbindung" gar nicht bestehen oder irre ich da?
In diesem Fall verwerfe ich die Weiterleitung durch mein WAN-Interface und zusätzlich auch noch ein Drop an Input an das WAN-Interface direkt.
Aber trotzdem steht die Verbindung ! Warum ... oder wo liegt das "Problem" . Liegt es an der Zuordnung zum GW ... da ja im Transfernetz diese IP aus diesem Bereich ... meinem GW zu geordnet ist?
Wenn noch nähere Infos benötigt werden ... arbeite ich gern zu.
Vielleicht auch Quatsch sich damit zu befassen.Da ja nichts versendet wird! Sollte das so sein ... einfach euren Eindruck zuwerfen!
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359914
Url: https://administrator.de/forum/ploetzlich-bestehende-tcp-verbindung-trotz-blacklist-fw-regel-und-nicht-bedienter-source-adresse-359914.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Eigentlich gehoert die IP 124.65.231.98 nach China(CHINA169-BJ China Unicom Beijing Province Network, CN).
Was Du aus dieser Information machst, ist Dein Ding. Ich persoenlich wuerde die "wilde Hilde" auf alle Geraete im Netzwerk loslassen, wenn nicht zufaellig die IP oder das Netz von mir selbst vergeben wurde.
BFF
Eigentlich gehoert die IP 124.65.231.98 nach China(CHINA169-BJ China Unicom Beijing Province Network, CN).
Was Du aus dieser Information machst, ist Dein Ding. Ich persoenlich wuerde die "wilde Hilde" auf alle Geraete im Netzwerk loslassen, wenn nicht zufaellig die IP oder das Netz von mir selbst vergeben wurde.
BFF
Aber Danke trotzdem!
Bitte!
Und an deinem persönliches "loslassen" würdest du nicht mehr festhalten, wenn du Funkstrecken hättest, wo jedes Paket ,welches eh nicht gewollt
Hast Du das irgendwo in Deiner Frage erwaehnt?
Und irgendwo da oben schreibst Du:
Es geht um um eine stätig(dynamisch) wiederkehrende Verbindung an eine IP-Adresse die zwar zu meiner meiner Netze gehört, aber nicht von meinem Server vergeben wird bzw. wurde oder sich hinter meinen WAN befindet mit einem Interface befindet.Ist also in keinem meiner Pools hinterlegt.
Deswegen die "wilde Hilde". Und damit meine ich nicht einen profanen Scan irgendwelcher HDD mit Drittanbieter-Software.
BFF
Zeigt ja eigentlich klar das die Blacklist und die Firewall NICHT funktioniert.
Über das Warum kann man nur wild im freien Fall spekulieren ohne Details zu kennen.
Einen Eintrag in die Sessiontable zu bekommen bei entsprechenden korrekten Filterlisten ist unmöglich.
Jetzt mal einen Bug der Firewall/Router Firmware und Bedienungs- bzw. Konfig Fehler komplett ausgeschlossen.
Über das Warum kann man nur wild im freien Fall spekulieren ohne Details zu kennen.
Einen Eintrag in die Sessiontable zu bekommen bei entsprechenden korrekten Filterlisten ist unmöglich.
Jetzt mal einen Bug der Firewall/Router Firmware und Bedienungs- bzw. Konfig Fehler komplett ausgeschlossen.
Hi!
Jetzt mal völlig ins Blaue... Einen Reboot der Firewall (welche überhaupt) hast du gemacht?
Aber schon mit einer standardmässigen default- Regel, die alles droppt, was nicht angefragt ist, sollten diese States nicht existieren, soweit mein Halbwissen reicht... Mit der Blacklist erst recht.
Bist du evtl. hinter einer dynamischen öffentlichen IP? Könnte es von daher sein, dass die Source-Adresse einfach nur nach einem IP-Wechsel versucht, ihren Counterpart noch bei dir zu erreichen, da ein Update im DNS fehlt?
Trotzdem: Ich verstehe dein Problem. Deine Firewall hat einen State zu einer IP die nicht existiert. Seltsam...
Buc
Jetzt mal völlig ins Blaue... Einen Reboot der Firewall (welche überhaupt) hast du gemacht?
Aber schon mit einer standardmässigen default- Regel, die alles droppt, was nicht angefragt ist, sollten diese States nicht existieren, soweit mein Halbwissen reicht... Mit der Blacklist erst recht.
Bist du evtl. hinter einer dynamischen öffentlichen IP? Könnte es von daher sein, dass die Source-Adresse einfach nur nach einem IP-Wechsel versucht, ihren Counterpart noch bei dir zu erreichen, da ein Update im DNS fehlt?
Trotzdem: Ich verstehe dein Problem. Deine Firewall hat einen State zu einer IP die nicht existiert. Seltsam...
Buc