Verbindung mal akzepiert, mal abgelehnt

1. offizieller Beitrag

    Hallo,

    im Firewall-Log sehe ich, dass manche Verbindungen sporadisch abgelehnt werden, obwohl eine FW-Regel den Port durchlassen soll.
    Konkret imap (tcp 143), von grün auf rot, gleiche Quelle, gleiches Ziel.
    akzeptiert: OUTGOINGFW:ACCEPT:12 TCP (br0)
    abgelehnt: FORWARD:DROP TCP (br0)

    Die Unterschiede zwischen Akzeptanz und Ablehung liegen wohl im Detail. Quell- und Zieladresse, Protokoll und Port sind identisch.
    Erst, wenn man sich die kompletten Statusmeldungen ansieht, erkennt man Unterschiede.

    akzeptiert: ... ACK=0 WINDOW=8192 SYN URGP=0 MARK=6000
    abgelehnt: ... ACK=1142182869 WINDOW=16073 ACK FIN URGP=0 MARK=0

    Warum werden diese Pakete denn nun abgelehnt, bzw. greift die FW-Regel nicht?

    Gruß, Knut

    Institut für Physikalische und Theoretische Chemie
    Uni Bonn

    • Offizieller Beitrag

    Wenn du eine Regel von Grün nach Rot machst für Port 143 TCP sollten auch alle Rechnern im grünen Netz raus kommen.
    Das Szenario was du da beschreibst habe ich so noch nicht gesehen . . .

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo,

    ich hab noch mal ein bisschen gegooglt. Be iden verworfenen Paketen handelt es sich ja ausnahmslos um ACK-Pakete, das heißt Pakete einer bereits bestehenden oder sich im Aufbau befindlichen TCP-Verbindung. Nun macht die Endian Firewall ja eine stateful inspection, überprüft also die Korrektheit der Pakete. Wenn dort ein Fehler auftritt oder timeouts überschritten werden, erkennt das die Firewall. Und das führt dann - vermute ich - zum beschriebenen Phänomen. Solange sich keine Anwender beschweren, werde ich also erst mal nichts unternehmen.

    Gruß, Knut

    Institut für Physikalische und Theoretische Chemie
    Uni Bonn