Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Wie kann man das Konfigurieren?
QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » March 25th, 2019, 1:27 pm

Hallo Leute hab hier ein Netzwerk in dem eine vorschaltete Fritz Box ein bestimmtes Multicast (224.0.0.1) ständig an die IPFire sendet.
Was für einen Firewall Regel muss ich erstellen, dass diese spezielle Anfrage abgewiesen (reject) und gleichzeitig nicht protokolliert wird.

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by FischerM » March 25th, 2019, 5:50 pm

Ahmt,

vielleicht hilft ja das hier.

Forensuche hätte gereicht... ;)

HTH,
Matthias

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » March 25th, 2019, 6:01 pm

Ausprobiert, alles in die Konsole eingetippt und keine Änderung in "firewall --> iptables in the CUSTOMINPUT" sichtbar!

Gibt es denn auch ne Möglichkeit sowas über das Webinterface zu realisieren?

Grüße

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by FischerM » March 25th, 2019, 6:08 pm

Ahmt,

Dann hast Du entweder an der flaschen Stelle nachgesehen oder in der '/etc/sysconfig/firewall.local' eventuell noch einen Fehler drin!?

Ich habe hier genau diesselbe Situation und die Regel greift. Hier: DROP.

Die fertige Regel sollte etwa so aussehen:

Image

Nur Dein Target wäre REJECT.

Per GUI kannst Du die CUSTOMINPUT nicht bestücken...

HTH,
Matthias

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » March 25th, 2019, 6:17 pm

hier nochmal zum nachvollziehen

Code: Select all

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
        ;;
  stop)
        ## add your 'stop' rules here
        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac

Attachments
capture_03252019_191418.jpg

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by FischerM » March 25th, 2019, 6:33 pm

Ahmt,

Der Code-Teil zeigt eine unbearbeitete 'firewall.local'. Soweit, so gut.

Deinen Attachment-Screenshot interpretiere ich als Auflistung einzelner Konsolenbefehle.

Deren Auswirkung:

Erste Zeile: Du setzt die von Dir gewünschte Regel (REJECT).

Zweite Zeile: Du löscht ALLE Regeln der CUSTOMINPUT-Chain, auch die eben gesetzte (warum!?).

Dritte Zeil: Du lädst die - immer noch leere!? - 'firewall.local' neu (reload).

Vierte Zeile: Du listest die gesetzten Regeln der CUSTOMINPUT-Chain auf. Logischerweise ist die Chain jetzt leer, weil Du dort ev. vorhandene Regeln in der zweiten Zeile alle gelöscht hast.

Restliche Zeilen: Dasselbe nochmal mit DROP.

Ich bin jetzt etwas verwirrt. Wenn Du den von Dir gewünschten Effekt erreichen möchtest, solltest Du die gesetzte Regel nicht direkt wieder löschen...

Gruß,
Matthias

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » March 25th, 2019, 6:52 pm

Gibt es eine Möglichekeit dass hierüber [siehe Bild]
zu REALISIEREN ohne auf der Konsole rumzubasteln?

EDIT#1
Ich habe mich, wie auch bestimmt viele Andere, für IPFire entschieden weil gerade so viel über ein Web Interface gemacht werden kann. Warum also nicht auch diese Angelegenheit?
Attachments
capture_03252019_195041.jpg

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by FischerM » March 25th, 2019, 7:49 pm

Ahmt,

die CUSTOMINPUT nicht per GUI erreichbar.

Eine Erklärung hier für findet man z.B. hier.

Eine funktional ähnlich arbeitende Regel kann u.U. auch per GUI gebaut werden - IMHO ist fraglich, ob sie den gewünschten Effekt erzielt. Deshalb habe ich es garnicht erst versucht.

Einfacher ist IMHO, das Verschwinden der nervigen FB-Anfragen an 224.0.0.1 in diesem Fall durch den Einsatz von zwei Einzeilern - einmal 'iptables -A ...' in der start-section, einmal 'iptables -F ...' in der stop-section zu realisieren.

Die per GUI ansprechbaren Chains sind in diesem und manchmal auch in anderen Fällen nicht unbedingt zielführend.

Falls jemand eine per GUI realisierbare - bessere - Lösung hat: nur zu.

Viele Grüße,
Matthias

EDIT: siehe auch => Übersicht der IPFire FW Chains

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » April 22nd, 2019, 1:15 pm

Und die "firewall.local" gehört auch zu jenen Dateien die nach einem IPFire Update überschrieben werden. Oder nicht?

Grüße und noch einen schönen Ostermontag

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by FischerM » April 22nd, 2019, 3:06 pm

Hi,

Die /etc/sysconfig/firewall.local wurde am 11.12.2006 erstellt und seitdem nicht mehr per Update aktualisiert.

Viele Grüße,
Matthias

Hellfire
Posts: 697
Joined: November 8th, 2015, 8:54 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by Hellfire » April 23rd, 2019, 6:32 am

QAI wrote:
April 22nd, 2019, 1:15 pm
Und die "firewall.local" gehört auch zu jenen Dateien die nach einem IPFire Update überschrieben werden. Oder nicht?
Hat bei mir schon mehrerer Updates überlebt, nichtsdestotrotz kontrolliere ich nach jedem Update bestimmte von mir geänderte Dateien, unter anderem auch diese.
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by Arne.F » April 23rd, 2019, 7:41 am

Selbst wenn wir die firewall.local versehentlich in eine core packen ist die immernoch in der exclude list. Das heist man müsste sie da auch noch extra rausnehmen...

https://git.ipfire.org/?p=ipfire-2.x.gi ... b4cfde47e7

Die sollte also nie überschrieben werden.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » May 17th, 2019, 12:30 pm

Code: Select all

[root@ipfire ~]# iptables -L CUSTOMINPUT
Chain CUSTOMINPUT (1 references)
target     prot opt source               destination
REJECT     all  --  anywhere             all-systems.mcast.net  reject-with icmp                                                                                                                                                                             -port-unreachable
[root@ipfire ~]# pakfire upgrade
CORE UPGR: Upgrading from release 130 to 131
meta-core-upgrade... 100.00% |=============================>|   965.00 B
core-upgrade-2.23... 100.00% |=============================>|   55.92 MB
PAKFIRE UPGR: core-upgrade-131: Decrypting...
PAKFIRE UPGR: core-upgrade-131: Upgrading files and running post-upgrading scripts...
PAKFIRE UPGR: core-upgrade-131: Finished.

Core-Update 2.21-x86_64
Release: 130 -> 131

Update: hostapd
Version: 2.7 -> 2.7
Release: 44 -> 46

Update: tor
Version: 0.3.5.8 -> 0.3.5.8
Release: 34 -> 35

PAKFIRE RESV: hostapd: Resolving dependencies...
PAKFIRE RESV: tor: Resolving dependencies...

PAKFIRE UPGR: We are going to install all packages listed above.
PAKFIRE INFO: Is this okay? [y/N]
y
hostapd-2.7-46.ip... 100.00% |=============================>|  460.62 KB
tor-0.3.5.8-35.ip... 100.00% |=============================>|    2.08 MB
PAKFIRE UPGR: hostapd: Decrypting...
PAKFIRE UPGR: hostapd: Upgrading files and running post-upgrading scripts...
PAKFIRE UPGR: hostapd: Finished.

PAKFIRE UPGR: tor: Decrypting...
PAKFIRE UPGR: tor: Upgrading files and running post-upgrading scripts...
PAKFIRE UPGR: tor: Finished.

[root@ipfire ~]# iptables -L CUSTOMINPUT
Chain CUSTOMINPUT (1 references)
target     prot opt source               destination
[root@ipfire ~]#
So, wie man hier schön sehen ist die Regel vor dem Update [core 131] noch vorhanden und danach nicht mehr!
Wäre die Regel über das WebGUI (und nicht über iptables) erstellt worden, wäre diese selbstverständlich noch vorhanden und müsste NICHT neu angelegt werden.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by ummeegge » May 17th, 2019, 12:51 pm

Was seltsam ist, hab das selbe gerade mal interesseheitshalber probiert:

Code: Select all

# root @ ipfire-server in ~ [14:47:35] 
$ iptables -L CUSTOMINPUT
Chain CUSTOMINPUT (1 references)
target     prot opt source               destination         
LOG        tcp  --  anywhere             anywhere             tcp dpt:krb524 limit: avg 2/min burst 5 LOG level alert prefix "portspoof: Activity log "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:krb524

# root @ ipfire-server in ~ [14:47:43] 
$ vim /opt/pakfire/db/core/mine     

# root @ ipfire-server in ~ [14:48:05] 
$ pakfire update --force       
server-list.db       100.00% |=============================>|    1.99 KB
packages_list.db     100.00% |=============================>|    4.84 KB
core-list.db         100.00% |=============================>|   871.00 B

# root @ ipfire-server in ~ [14:48:25] 
$ pakfire upgrade
CORE UPGR: Upgrading from release 130 to 131
core-upgrade-2.23... 100.00% |=============================>|   55.92 MB
PAKFIRE UPGR: core-upgrade-131: Decrypting...
PAKFIRE UPGR: core-upgrade-131: Upgrading files and running post-upgrading scripts...
PAKFIRE UPGR: core-upgrade-131: Finished.

Core-Update 2.23-x86_64
Release: 130 -> 131


# root @ ipfire-server in ~ [14:49:43] 
$ iptables -L CUSTOMINPUT      
Chain CUSTOMINPUT (1 references)
target     prot opt source               destination         
LOG        tcp  --  anywhere             anywhere             tcp dpt:krb524 limit: avg 2/min burst 5 LOG level alert prefix "portspoof: Activity log "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:krb524

# root @ ipfire-server in ~ [14:49:51]
und hier ist noch alles da... Kann ich also nicht bestätigen.

Wegen Neuanlegen, wie sieht denn deine firewall.local aus ?

UE
Image
Image

QAI
Posts: 229
Joined: March 1st, 2010, 12:12 am

Re: Firewall Logs enschlacken - 224.0.0.1 nicht loggen

Post by QAI » May 17th, 2019, 1:11 pm

/etc/sysconfig/firewall.local

Code: Select all

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
        ;;
  stop)
        ## add your 'stop' rules here
        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac
Warum wird die Regel nicht übernommen aber dennoch im GUI angezeigt?
Attachments
custominput.jpg

Post Reply