Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense Firewall Log - Unbekannte Aktivitäten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: NetworkUser

NetworkUser (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 23:38 Uhr, 2640 Aufrufe, 5 Kommentare, 1 Danke

Hallo,
ich habe eine Firewall auf Basis von PfSense. (Neustes Update)

Folgende Konfiguration:

Internet --> PfSense ---> Internes LAN/WLAN

Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt werden, die nicht aus dem LAN/WLAN Subnet stammen.
Kann mir jemand sagen woher diese Block-Einträge stammen? Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten im LAN stammen können. (Ich nutze keine Geräte mit IPv6)


Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.

Danke und Gruß
Mitglied: Alchimedes
11.04.2014 um 19:33 Uhr
Hallo ,

ist mit den duerftigen Angaben nicht zu beantworten.
Wie ist pf konfiguriert ? Was sagen die Auth.log Dateien ?

Die Aufzaehlung von ipv4 zu ipv6 kann auch systembedingt sein.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
11.04.2014, aktualisiert um 20:55 Uhr
Zitat von NetworkUser:

Mein Problem ist, dass im Firewall Log auf dem LAN Interface als Source für mich unbekannte IPs (IPv4/IPv6) angezeigt
werden, die nicht aus dem LAN/WLAN Subnet stammen.

ein paar beispiele könnten Licht ins dunkel bringen.

Kann mir jemand sagen woher diese Block-Einträge stammen?

Von Geräten in Deinem LAN/WLAN?

Ich bin mir fast 100%ig sicher, dass diese nicht von Geräten
im LAN stammen können. (Ich nutze keine Geräte mit IPv6)

Fast? Außerdem haben MS-produkte oft eigene Ansichten darüber, welche Protokolle sie benutzen.

Ich hoffe jemand kann mir bei der Lösung des Rätsels helfen.
Über die SuFu bin ich leider nicht fündig geworden.

Dann mal "Butter bei die Fische". Welche IP-Adressen sind denn "nicht in Deinem Netz"?

lks
Bitte warten ..
Mitglied: NetworkUser
11.04.2014, aktualisiert um 21:14 Uhr
Hallo,
die Firewall wurde lediglich für OpenVPN konfiguriert inkl. Firewallregeln. (Erstellt mit Hilfe des Wizards)
Folgende Zeile aus dem Firewall Log:

block LAN 0.0.0.0 224.0.0.1 IGMP

Dazu kommen noch einige Einträge, welche immer von Geräten ausgehen, welche sich im LAN befinden. (Ich gehe davon aus, dass diese "Nach-Hause-telefonieren" wollen.)


Danke und Gruß!
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 23:38 Uhr
Das sind Multicast Querier Pakete, das siehst du ja schon an der 224.0.0.1er IP Ziel Adresse !
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
224.0.0.1 ist ein Multicast an ALLE Systeme in deinem Subnetz:
http://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Irgendwas will da also mit allen Rechnern reden oder hat ihn was mitzuteilen. Interessant wäre der genau Inhalt dieser Pakete !
Ungewöhnlich ist auch das 0.0.0.0 als Absender denn das bedeutet das diese von einem Gerät ohne IP kommen, was zumindest verdächtig ist.
Die pfSense hat im Diagnostics Menü einen Paket Sniffer mit dem du diese Pakete näher untersuchen kannst.
Besser ist aber du schmeisst mal den Wireshark Sniffer an und capturest diese Pakete mal mit. Anhand der Mac Adresse in diesen Pakete kannst du ganz genau identifizieren wer der pöhse Bube ist in deinem Netz und das verursacht.
Die pfSense tut brav was sie soll denn diese Pakete mit 0.0.0.0 als Absender IP dürfen nicht rein deshalb block !
Bitte warten ..
Mitglied: NetworkUser
11.04.2014 um 23:38 Uhr
Hallo,
danke für den Tipp. Klasse Es war doch ein System im LAN!
Mittels Paket Sniffer von PfSense habe ich den Übeltäter erwischt und konnte den Multicast auf dem entsprechenden System deaktivieren.
Jetzt sieht das Log doch schon viel besser aus!
Nochmal vielen, vielen Dank für die schnelle und kompetente Hilfe!

Gruß
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Pfsense Log und Volume Limit
Frage von Kubus0815LAN, WAN, Wireless5 Kommentare

Hallo, ich betreibe APU2C4 Board mit Pfsense FW. Ich habe nach Aquis Anleitung ein Gast Netz mit Captive Portal ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Windows Server
Kein Firewall Log auf DC
Frage von scusimarcusWindows Server13 Kommentare

Hallo, ich habe gerade eine Kuriosität auf einem DC (server 2012 R2) entdeckt. Die Firewall-Settings werden über GPO´s an ...

Firewall
PfSense Monitoring Firewall Rules
Frage von JudgeDreddFirewall3 Kommentare

Hallo Zusammen, im Einsatz ist eine pfSense (Version 2.4.0), auf der diverse FW-Regeln angelegt sind. Es kommt ja immer ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 22 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...