Hatte insgesamt zwei Tage lang ohne IPS gearbeitet, aber die Einträge vom WLAN-Repeater tauchten nach wie vor im Firewall Log auf. Habe auch noch überprüft, ob das IPS tatsächlich aus war. War es. Was nu?
Beiträge von Zerberus
-
-
Okay, ich habe alle meine Regeln mit "gestatten mit IDS" eingetragen.
-
Ja IPS ist aktiviert.
Wie kann ich feststellen, ob das gedropte Paket von einer "normalen" Firewall-Regel oder vom IPS gedropt wurde?
Und wie kann ich eine Ausnahme für IPS hinzufügen?
-
Hi RedHat,
da hängt eine Aussenkamera vor der Eingangstüre dran, die es sonst über den normalen Access-Point nicht schafft. Geht halt die ganz große Schleife über das WLAN zur Hersteller-Cloud und von dort wieder zurück auf mein Handy. Die zweite Alternative auf den Computer könnte auch direkt funktionieren, wahrscheinlich aber auch über die Hersteller-Cloud.
Ich sehe sporadische Momente des funktionierens mit großen Bereichen, wo es nicht klappt
CIAO Zerberus
-
Hi,
in meinem Netzwerk habe ich einen WLAN-Repeater auf 192.168.32.6. Ich sehe alle 10 Sekunden abgewiesene Pakete mit
CodeNov 10 19:46:23 endianfw ulogd[2190]: INPUTFW:DROP IN=br0 OUT= MAC=00:b0:c2:02:21:48:52:c7:bf:c7:b7:e2:08:00 SRC=192.168.32.6 DST=192.168.32.1 LEN=78 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=39623 DPT=137 LEN=58 MARK=3000 Nov 10 19:46:24 endianfw ulogd[2190]: INPUTFW:DROP IN=br0 OUT= MAC=00:b0:c2:02:21:48:52:c7:bf:c7:b7:e2:08:00 SRC=192.168.32.6 DST=192.168.32.1 LEN=71 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=54783 DPT=5353 LEN=51 MARK=3000Die 192.168.32.1 ist meine grüne Schnittstelle an der Community Endian 3.3. Ich habe unter "Firewall" / "Port Forwarding / Destination NAt" unter "Source NAT", unter "Eingehender gerouteter Datenverkehr" und unter "Inter-Zone Datenverkehr" je eine Regel eingefügt, die von 192.168.32.1 auf GREEN Interface die Ports 137 und 5353 mit IPS durchlassen soll. Aber es wird immer noch abgelehnt. Jetzt frage ich mich was ich übersehen habe! Kann mir jemand weiterhelfen?
Danke
CIAO Zerberus
-
Hi,
Nachdem ich jetzt Regeln für alle Mail Varianten (POP3, IMAP, SMTP) und auch HBCI, DNS und SMB erstellt habe und mein gesamtes Netzwerk mehr oder wenig (es gibt immer Leute, die steif und fest behaupten, daß es vorher besser lief) gut lief habe ich den SMTP-Proxy eingeschaltet und nach kurzer Zeit wieder abgeschaltet.
Ich kann kein wirklich einheitliches Bild abgeben, aber ich habe den Eindruck, daß
- eine Mail, die auf einem externen IMAP-Server ABC liegt, sich nicht mehr auf einen anderen externen IMAP-Server XYZ verschieben läßt, die Authentifizierung auf XYZ schlägt fehl
- der eMail-Versand ist manchmal gestört, aber nicht immer. Ich habe es noch nicht raus gekriegt an was es im Detail hängt. Manchmal geht es problemlos raus, manchmal bleibt es nach einiger Zeit mit einem Timeout hängen und einmal kam ein Meldung-Popup
"Sicherheits-Ausnahmeregel hinzufügen
Hiermit übergehen Sie die Identifikation dieser Website durch Thunderbird.
Seriöse Banken, Geschäfte und andere öffentliche Seiten werden Sie nicht bitten, Derartiges zu tun.
Adresse: smtp.XYZ.de:587 |Zertifikat herunterladen|
Diese Website versucht sich mit ungültigen Informationen zu identifizieren.
|Ansehen|
Falsche Website
Das Zertifikat gehört zu einer anderen Website, was heißen könnte, dass jemand versucht, sich als diese Website auszugeben.
Unbekannte Identität
Dem Zertifikat wird nicht vertraut, weil nicht verifiziert wurde, dass es von einer vertrauenswürdigen Autorität unter Verwendung einer sicheren Signatur herausgegeben wurde.
_
|_| Diese Ausnahme dauerhaft speichern
|Sicherheits-Ausnahmeregel bestätigen| |Abbrechen|"
Wenn ich in diesem Meldungs-Popup auf "Ansehen" gehe erscheint die Zertifikat-Ansicht und ich sehe den Aussteller "efw-xxx.localdomain". Das bedeutet, daß die Endian FW im SMTP Proxy wenn ich eine eMail an einen Server schicke der SMTP mit Authentifizierung haben möchte, diesen Dialog abfängt und meinem Thunderbird als eMail-Client ein selbst erstelltes "Fake-Zertifikat" präsentiert.
Ich vermute fast, daß es hierfür keine wirkliche Lösung gibt.
Hat jemand anders auch diese Beobachtung gemacht? Gibt es eine Lösung dafür?
CIAO Zerberus
-
Hi redhat,
musste noch zwei Ports für HBCI freischalten. Seit 2 h läuft Endian jetzt produktiv mit dem Netzwerk.
Mein Problem war, daß ich bei "Protokolle und Berichte" nicht realisiert habe, daß "Firewall" auf der linken Seite für den verweigerten Traffic und "Firewall" unter Live-Protokolle für den accepted Traffic ist. Sonst hätte ich gleich selbst feststellen können, welche Ports angesprochen und verweigert wurden.
BTW: wo kriegt man vernünftige Dokumentation für Endian?
CIAO Zerberus
-
Hi redhat,
danke für die schnelle Antwort.
Bei mir ist übrigens weitgehend MS freie Zone (alles Linux, bis auf die Rechner meiner Frau und meiner Kleinen), also nix DosBox .nslookup ging einwandfrei.
Habe im ausgehenden Firewall eine elfte Regel dazu gefügt für Port 465 (SMTP via SSL/TLS), dann ging es sofort raus. Ich werde mir dann nochmal alle in Frage kommenden Ports für SMTP Authentifizierung vornehmen und die auch noch als weitere Regeln eintragen.
Also nochmal danke
Habe einfach nicht damit gerechnet, daß solche "Standardfälle" selbst eingetragen werden müssen.CIAO Zerberus
-
Hi,
ich bin absolut neu hier. Ich habe fast zwei Jahrzehnte IPCop verwendet. Mehrere Installationen auch parallel. Jetzt versuche ich ein Nachfolgesystem zu finden. Hab erst mal IPFire auf einer Test-Firewall HW ausprobiert und dann Endian. Habe jetzt IPFire in den produktiven Modus (d.h. als Nachfolger von meinem alten IPCop) gestellt. Aber das Endian hat mir beim Vergleich der Testversionen mehr zugesagt. Aber als ich in den produktiven Modus gewechselt habe - also alles über Endian laufen liess - hat sich herausgestellt, daß ich keine eMail mehr los schicken konnte. Nach einer halben Stunde musste ich alles wieder zurück stecken.
Ich habe mehrere Tage lang im Test-FW-Rechner versucht das Problem mit allen möglichen Änderungen zu lösen, aber es gelang mir nicht.
Ich habe eine Endian FW 3.3.0 installiert und versucht über Strato eine eMail via SSL/TLS Port 465 zu verschicken. Das Firewall-Protokoll zeigt danach mehrere Port 53 Zugriffe an:
Firewall 2019-10-13-21:35:27 INPUTFW:ACCEPT:3:13 UDP (bro) 192.168.32.244:43542 -> 192.168.32.1:53
ungefähr ein Dutzend und dann noch ein paar wenige auf Port 80 und 443, aber das ist vermutlich nicht damit zusammen hängend. Nach ca 2 min erhalte ich einen Timeout von Thunderbird beim Versuch die eMail zu senden:
"Sending of the message failed.
the messagecould not be sent because connecting to Outgoing server (SMTP) smtp.strato.de failed. The server may be unavailable or is refusing SMTP connections. Please verify that your Outgoing server (SMTP) settings are correct and try again."
Ich habe es auf zwei verschiedenen Rechnern versucht wegzuschicken und ich habe es mit zwei verschiedenen Firewalls dazwischen ausprobiert. Es hängt an Endian. Aber ich sehe nicht, daß Endian im Firewall irgend etwas blockiert hätte.
Ich habe es probiert mit SMTP Proxy deaktiviert und aktiviert und dabei einige Einstellungen durchprobiert. Es ist immer das Gleiche.
Ich habe DNS Proxy im Moment auf Transparent und Transparenten Proxy umgehen mit dem Rechner von dem ich verschicken möchte in "Umgehen von" und in "Umgehe zu" drin stehen, aber ich habe auch dort schon alle denkbaren Kombinationen durch.
Wo ist mein Denkfehler, denn ich glaube ja nicht, daß es prinzipiell mit Endian keine Möglichkeit gibt eine eMail zu verschicken.
Jetzt bin ich mit meinem Latein und meinen Nerven am Ende und hoffe auf Rat
CIAO Zerberus