Zugriffe auf die INPUT Kette seid Update auf 2.23

Post Reply
imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by imbio » September 25th, 2019, 8:21 am

Ihr Lieben!

ich hätte eine Frage wegen Paketen meiner Clients, die seid dem Versionsupdate von 2.21 auf 2.23, an die INPUT Kette geschickt werden. Diese Pakete gab es in der Version 2.21 (noch) nicht, bzw. wurden nicht aufgezeichnet.

Meine Frage wäre erstens ob das an dem Versionssprung liegt oder ob da ein Fehler in der Konfiguration vorliegt. Ferner wäre es interessant zu wissen ob das eine mögliche Quelle für zukünftige Probleme sein könnte - da es, wie gesagt vorher keine direkten Pakete der Clients an die Firewall gab.

Kurz zur Information: Die Firewall hängt vor ca. 110 Clients (beinahe alle mit Windows 7 bzw. 10 unterwegs) und dient als Standardgateway für diese. Die statische IP Adresse der Firewall ist xxx.xxx.xxx.254

Die momentane Firewallkonfiguration wurde mit einer Sicherungsdatei aus Version 2.21 übernommen
Attachments
168.JPG
Dieser Rechner ist ein Problemfall - Windows 10 und vermutlich nicht änstandig aufgesetzt wurden. Der Benutzer hat schon einen auf den Deckel bekommen
239.JPG
Dieser Rechner ist für red gesperrt und ist nur im grünen Netz unterwegs
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by Arne.F » September 25th, 2019, 9:09 am

Port 137 (NetBios over TCP) gehört zu Windows Dateifreigabe, solange die in Windows läuft wird der Regelmaßig mal das Netz durchsuchen und 53 ist DNS (Namensauflösung).

Die Zugriffe sind also eher Normal, das er die Auflistet hängt warscheinlich mit der Blockregel für diesen Rechner zusammen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Re: Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by imbio » September 25th, 2019, 9:24 am

Hallo Arne!

erstmal vielen Dank für die (wie immer zügige) Antwort. Für red geblockt ist nur der Rechner xxx.xxx.xxx.239

Der andere, bzw. die anderen Rechner im Netz, die nicht für red geblockt sind, werden da ebenfalls protokolliert.
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by Arne.F » September 25th, 2019, 10:24 am

Hast du eine extra Log-Regel/Funktion angemacht?
Normal sollte die INPUTFW nix loggen. Das sind erlaubte Verbindungen sonst würde da DROP_* oder REJECT_* davorstehen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Re: Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by imbio » September 25th, 2019, 12:01 pm

Hallo Arne,

nein habe ich nicht gemacht. Es war eine Neuinstallation der IPFire 2.23 core 134 (inzwischen auf 135 geupdated). Die Konfiguration erfolgte mit einer Sicherungsdatei aus der "alten" IPFire 2.21.

Das einzige was ich händig gemacht habe war der folgende Guide aus dem Forum, weil sich das IPS nicht hat starten lassen:
viewtopic.php?f=14&t=23261&p=127351#p127351

edit: Und, da auf der Startseite, anstelle der IP Adressen der DNS Server nur "local recursor" auftauche habe ich den Befehl:
/etc/init.d/unbound update-forwarders
ausgeführt

Ob die INPUTFW vorher schon geloggt wurde kann ich nicht sagen.
Image

imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Re: Zugriffe auf die INPUT Kette seid Update auf 2.23

Post by imbio » October 24th, 2019, 6:27 am

Guten Morgen!

ich wollte in diesem Topic noch gerne eine Update da lassen - vielleicht ist es hilfreich:

Ich habe die Firewallkonfiguration mit baugleicher Hardware noch einmal "händig" aufgesetzt um etwaige Probleme die durch eine alte Sicherungsdatei (die ursprunglich aus Version 2.21) zu vermeiden.

Die INPUTFW wird weiterhin in den Protokolldateien geloggt - es kann also nicht an der Sicherungsdatei liegen.

Viele Grüße
Image

Post Reply