Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense blockiert Traffic, vermutlich Routing Problem

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

25.08.2011 um 21:51 Uhr, 6721 Aufrufe, 2 Kommentare, 1 Danke

Hi,

ich habe hier folgende Netzwerkstruktur:

8959349ea311062f75567541bdee67d3 - Klicke auf das Bild, um es zu vergrößern

In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:

pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87

Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.

Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?

Danke und Grüße,
tonabnehmer
Mitglied: aqui
26.08.2011 um 08:18 Uhr
Wir gehen mal davon aus das du sowohl bei Ubuntu als auch bei den Winblows Clients die 10.0.2.1 als default Gateway eingestellt hast.
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Bitte warten ..
Mitglied: tonabnehmer
26.08.2011 um 13:12 Uhr
Hallo aqui,

vielen Dank für die zielführende Erklärung! Es scheint so, als ob Ubuntu Server und auch RedHat Enterprise in den aktuellen Versionen ICMP Redirects per Default nicht akzeptieren bzw. je nach Edition und Version sich auch unterschiedlich verhalten. Konfiguriert wird das in der /etc/sysctl.conf über die Parameter [...]accept_redirects und kann hier nachgelesen werden: http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linu ....

Als Lösung habe ich aber nicht die /etc/sysctl.conf editiert sondern persistente statische Routen in die DMZ eingerichtet. Der Nachteil ist dabei, dass bei Änderung der IP dies auf allen Rechnern angepasst werden muss. Bei der /etc/sysctl.conf bin ich mir aber nicht sicher, ob die bei einem Update/Upgrade nicht überschrieben wird. Die statische Route erschien mir die zuverlässigste Lösung.

Besten Dank und Grüße,
tonabnehmer
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PFsense Routing Problem
Frage von daMopsiRouter & Routing

Hallo Zusammen, vorab ein paar Informationen. Als Firewall haben wir eine PFSense (aktuelle Firmware) im Einsatz. Diese reicht soweit ...

Router & Routing
PfSense routing?
Frage von TheOnlyOneRouter & Routing4 Kommentare

Hallo zusammen, ich verstehe so langsam nichts mehr habe eine pfsense int0 WAN int1 LAN VLAn10 (Client) int1 LAN ...

Firewall
Pfsense traffic überwachen
Frage von thomasreischerFirewall5 Kommentare

Hallo zusammen, Ich suche momentan noch nach einer guten Lösung um mit pfsense den Traffic zu überwachen. Ntopng wäre ...

Router & Routing
Pfsense Traffic proiorisieren
Frage von theoberlinRouter & Routing7 Kommentare

Hallo zusammen, heute wollte ich mit dem traffic shaper der PfSense dem Exchange Server ein Minumum an Bandbreite zusichern. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)11 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...