Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense Firewall Log - Unbekannte Aktivitäten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: NetworkUser

NetworkUser (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 23:38 Uhr, 2383 Aufrufe, 5 Kommentare, 1 Danke

Hallo,
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)

Folgende Konfiguration:

Internet --> PfSense ---> Internes LAN/WLAN

Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)


Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.

Danke und Gruß
Mitglied: Alchimedes
11.04.2014 um 19:33 Uhr
Hallo ,

ist mit den duerftigen Angaben nicht zu beantworten.
Wie ist pf konfiguriert ? Was sagen die Auth.log Dateien ?

Die Aufzaehlung von ipv4 zu ipv6 kann auch systembedingt sein.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
11.04.2014, aktualisiert um 20:55 Uhr
Zitat von NetworkUser:

Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.

ein paar beispiele könnten Licht ins dunkel bringen.

Kann mir jemand sagen woher diese Block-Einträge stammen?

Von Geräten in Deinem LAN/WLAN?

Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)

Fast? Außerdem haben MS-produkte oft eigene Ansichten darüber, welche Protokolle sie benutzen.

Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.

Dann mal "Butter bei die Fische". Welche IP-Adressen sind denn "nicht in Deinem Netz"?

lks
Bitte warten ..
Mitglied: NetworkUser
11.04.2014, aktualisiert um 21:14 Uhr
Hallo,
die Firewall wurde lediglich für OpenVPN konfiguriert inkl. Firewallregeln. (Erstellt mit Hilfe des Wizards)
Folgende Zeile aus dem Firewall Log:

block LAN 0.0.0.0 224.0.0.1 IGMP

Dazu kommen noch einige Einträge, welche immer von Geräten ausgehen, welche sich im LAN befinden. (Ich gehe davon aus, dass diese "Nach-Hause-telefonieren" wollen.)


Danke und Gruß!
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 23:38 Uhr
Das sind Multicast Querier Pakete, das siehst du ja schon an der 224.0.0.1er IP Ziel Adresse !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !
Bitte warten ..
Mitglied: NetworkUser
11.04.2014 um 23:38 Uhr
Hallo,
danke für den Tipp. Klasse Es war doch ein System im LAN!
Mittels Paket Sniffer von PfSense habe ich den Übeltäter erwischt und konnte den Multicast auf dem entsprechenden System deaktivieren.
Jetzt sieht das Log doch schon viel besser aus!
Nochmal vielen, vielen Dank für die schnelle und kompetente Hilfe!

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...