gelöst INPUT:DROP TCP Portforwarding auf http/https

Knockahomer

Hallo, ich bin mittlerweile komplett Ratlos.
Ich habe Endian Community 2.5 auf einer virtual maschine auf esxi5.0 laufen.
Die Endian Firewall soll nur Port 80 und 443 auf einen internen Webserver weiterleiten.
Die Inter-Zone Firewall und die Ausgehende Firewall sind mittlerweile deaktiviert.
Die einzigen Regel die ich gesetzt habe sehen so aus:

Port forwarding / Destination NAT
Uplink ANY TCP/443 WebserverIP : 443
GESTATTEN von: Uplink ANY

Uplink ANY TCP/80 WebserverIP : 80
GESTATTEN von: Uplink ANY

Eingehender gerouteter Datenverkehr
1 <ALLE> WebserverIP TCP/443
2 <ALLE> WebserverIP TCP/80

Auszug aus den Firewall logs
Firewall 2012-01-16 12:02:47 FORWARD:DROP TCP (br0) WebserverIP:443 -> xxx.xxx.xxx.xxx:55694 (eth1)
Firewall 2012-01-16 12:02:47 FORWARD:DROP TCP (br0) WebserverIP:443 -> xxx.xxx.xxx.xxx:55694 (eth1)
Firewall 2012-01-16 12:03:01 INPUT:DROP TCP (eth1) xxx.xxx.xxx.xxx:52953 -> UplinkMain:80
Firewall 2012-01-16 12:03:17 INPUT:DROP TCP (eth1) xxx.xxx.xxx.xxx:1107 -> UplinkMain:443

Die Firewall lässt 99% der Pakete korrekt durch. Ich kann mir einfach nicht erklären warum einige Pakete geblockt werden.
Hat jemand ein ähnliches Problem?

Sabine

Hallo,
was heißt : Uplink ANY ?
Das ganze sollte auf " Uplink main - IP:Alle bekannten " stehen.

Hast du das IDS System laufen ?

Gruß Sabine

Knockahomer

[Blockierte Grafik: http://s1.directupload.net/images/120116/vppdgdun.png]

UPLINK Any bedeutet nur <Jeder Uplink>

Ich hatte vorher auch das Interface direkt ausgewählt. Es waren aber dieselben Fehler.

Sabine

Ja, das sieht gut aus . ..

Wie sieht es mit dem IDS- System aus ? Läuft das ?
Da gibt es immer mal wieder Schwierigkeiten . . . das was hängen bleibt.

Gruß Sabine

Knockahomer

Erstmal danke für die Antworten
Nein, ich weiß das Snort manchmal Probleme macht, darum habe ich das noch nicht aktiviert. Es ist ein Standard Installation. Ich habe nur die Regeln angepasst.
Es laufen nur die Standard Dienste. Ich werde heute Nacht auf die Endian 2.2 umschalten und testen ob ich da auch diese INPUT:DROP und FORWARD:DROP Probleme habe.

Sabine

Das ist eine Gute Idee . . . . da bin ich mal gespannt . . . es sind ja noch einige Bugs in der 2.5
Melde dich mal ob das mit der 2.2 dann weg ist.

Gruß Sabine

Knockahomer

Moin,
ich bekomme weiterhin INPUT:DROP und FORWARD:DROP Logs. Ich habe das Gefühl das es eine besondere Filterregel in iptables ist die manchen Paketen das Leben nimmt.
In den Release News zur Endian 2.4 steht das man jetzt BADTCP deaktivieren kann. Ich habe aber dazu nichts in der Dokumentation oder über google gefunden. Kennt sich jemand damit aus?
Ich denke mir wird nichts anderes übrig bleiben als mir direkt die iptables rules anzusehen.

Sabine

BadTCP oder " NEW not SYN?:DROP " kann auch mal vorkommen wenn die Netzwerkkarte sich nicht mit dem Switch versteht
oder meint er würde sich nicht mit der Gegenstelle verstehen.
Habe ich hier manchmal auch . . . aber das sind nur ein paar Paket . . . die werden wohl neu Angefordert und fertig.

Kannst du mal den Switch tauschen über den das ganze läuft ?

Knockahomer

Das wird etwas schwer bei virtueller Hardware auf esx5. Es sieht momentan jedoch so aus das die Endian 2.2 keine unerwünschten INPUT:DROP und FORWARD:DROP Logs mehr wirft. Ich habe eben die iptables von 2.2 und 2.5 verglichen und da gibt es schon einige Unterschiede in der INPUT und FORWARD Chain. Ich werde das heute noch beobachten und morgen ein update posten.

Knockahomer

Das Downgrade auf 2.2 hat keine Verbesserung gebracht. Es kommt auf Client Seite noch immer zu vereinzelten Fehlern. Ich werde mir mal die Chains einzeln vornehmen und schauen was ich noch anpassen kann.
Weiß jemand wo die Konfiguration für iptables bei Endian gespeichert wird? Auch in /var/efw/ ?

ffischer

Hallo,
auf einem ESXi5 installiert.
Anfragen auf ROT sollen intern über die FW an 80 und 443 weitergeleitet werden.
Ist das korrekt? Ist der WebService im Grünen oder Orangen Bereich?

Habe selbes Szenario hier bei mir kann das gleich mal austesten und gegenprüfen.

gruß

Sabine

Moin,
es sieht ja so aus als wenn das ein Bug in der 2.5 wäre . . . . in der 2.2 scheint es ja zu Funktionieren . . .
Wäre mal Interessant wenn du das noch mal prüfst . . .

Gruß Sabine

Knockahomer

Ja richtig,

Installiert auf esxi5, Webserver liegt im grünen Bereich. Die Endian soll alles was auf rot Port 80 und 443 ankommt auf dem Webserver weiterleiten.

ffischer

Wie merkst du das das Pakete abgelehnt werden?
Hast du da ein bestimmten Test am laufen ?

ffischer

Testaufbau

GRÜNES NETZ ==> EFW 2.5C ==> ROT mit WINXP
WinXP greift auf EFW per IP xx.xx.xx.xx zu Port 80 landet im Grünen Netz auf FREENAS mit HTTP GUI

Hier die Logs:
Habe zu erst per HTTP auf das Freenas GUI zugegriffen und dann per HTTPS

Code

Firewall	2012-01-18 09:14:01	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2421 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:14:01	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2420 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:14:01	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2419 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:14:01	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2418 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:55	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2377 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:53	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2376 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:41	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2375 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:30	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2336 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:30	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2335 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2330 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2327 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2326 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2325 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2324 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:28	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2323 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2310 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2309 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2308 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2307 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2306 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2305 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:22	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2304 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:20	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2303 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:13:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2302 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:13:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2302 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:13:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2302 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:13:17	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2301 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:13:06	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2299 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:12:44	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2258 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:12:44	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2257 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:12:44	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2256 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:12:44	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2255 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:12:44	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2254 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:11:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2213 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:11:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2212 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:11:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2211 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:11:19	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2210 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:11:19	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2210 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:11:19	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:2210 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 09:10:02	INPUT:DROP UDP (eth1) 192.168.210.120:138 -> 192.168.210.255:138
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2046 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2045 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2044 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2043 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2042 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2041 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2040 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2039 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2038 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2037 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2036 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2035 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:02	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2034 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:00	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2033 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:07:00	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:2032 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1829 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1828 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1827 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1826 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1825 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:03:24	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1824 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:01:36	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1742 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 09:01:33	INPUT:DROP UDP (eth1) 192.168.210.120:138 -> 192.168.210.255:138
Firewall	2012-01-18 09:01:30	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1741 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1652 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1651 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1650 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1649 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1648 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1647 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:58:02	INPUT:DROP UDP (eth1) 192.168.210.120:138 -> 192.168.210.255:138
Firewall	2012-01-18 08:57:32	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1606 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1478 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1477 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1476 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1475 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1474 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:53:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1473 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:49	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1387 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:37	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1386 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:37	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1385 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:37	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1384 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:37	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1383 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:37	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1382 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:25	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1381 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:25	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1380 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:25	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1379 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1378 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1377 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:51:07	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1358 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:50:21	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1316 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:50:21	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1315 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:50:20	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1314 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:50:20	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1313 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:50:20	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1312 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1230 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1229 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1228 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1226 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1225 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:23	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1224 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1223 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1222 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1221 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:48:18	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1220 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1173 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1172 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1171 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1170 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1169 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:22	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1168 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:47:14	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1167 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:47:14	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1167 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:47:14	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1167 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:46:33	INPUT:DROP UDP (eth1) 192.168.210.120:138 -> 192.168.210.255:138
Firewall	2012-01-18 08:46:16	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1126 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:46:10	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1126 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:46:07	PORTFWACCESS:ACCEPT:2 TCP (eth1) 192.168.210.120:1126 -> 192.168.200.12:443 (br0) 
Firewall	2012-01-18 08:45:59	INPUT:DROP UDP (eth1) 192.168.210.120:138 -> 192.168.210.255:138
Firewall	2012-01-18 08:45:12	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1083 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:45:06	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1083 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:45:03	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:1083 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:41:47	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:4857 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:41:41	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:4857 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:41:38	PORTFWACCESS:ACCEPT:1 TCP (eth1) 192.168.210.120:4857 -> 192.168.200.12:80 (br0) 
Firewall	2012-01-18 08:41:01	INPUT:DROP UDP (eth1) 192.168.210.120:137 -> 192.168.210.255:137

Alles anzeigen

Knockahomer

Erstmal vielen Dank für eure Hilfe.
Auf dem Webserver läuft ein soap service. Ein nagios check testen den soap service und meldet einen Fehler sobald es ein Verbindungsproblem gibt. Ich werde mir mal einen tieferen Überblick mit tcpdump besorgen.
Das Problem ist ja auch das es nicht mit allen Paketen Probleme gibt. 99,9 % gehen perfekt durch. Ich schreibe ein Update sobald ich mehr habe.

ffischer

Wenn die EFW Virtualisiert ist
was hast du für Netzwerkkarten in der VM?
VMXNET2/3 oder doch E1000?

Solltest du die VMXNET haben ersetze die mal durch die E1000.!
Gib laut wen du was hast

Knockahomer

Habe da die e1000 genommen da man für die vmxnet2/3 spezielle Treiber braucht die bei einer Firewall meistens nicht dabei sind.
Ich melde mich sobald ich die tcpdumps habe. Wird wohl erst morgen sein.

ffischer

alternativ kann ich gern mal meine EFW 2.5C zum Download bereit stellen als VM

Knockahomer

Das Angebot würde ich gerne annehmen. Die erste Auswertung mit Wireshark hat gezeigt das es zu duplizierten Paketen kommt. [TCP Dup ACK]
Jetzt habe ich in einem älteren Post im Netz gefunden das es da ein Problem mit dem e1000 Treiber gab. (Ob das noch aktuell ist weiß ich nicht)
Ich würde also die Endian mit vmxnet3 testen und schauen ob es da bei mir auch Probleme gibt.