Alle,
habe einen "eigenartigen" Effekt. Im neuen Flows screen (siehe screenshots) sehe ich das mein PiHole NTP anfragen sendet und diese blockiert werden. Was eigenartig ist:
Kann sein, dass ich irgend ein Fehler gemacht habe, denn ich aber nicht sehe 
Danke !!
Moin,
Mhhh so auf den zweiten und dritten blick sieht alles OK aus. Die Regeln währe sogar überflüssig den des gibt ja noch dem "Allow All Traffic"
Pauschal wird auch nicht NTP einfach so geblockt (jedes handy, jeder pc würde sonst schnell keine Zeit mehr haben)
Nun habe ich aber auch mal bei mit geschaut.
Die gleichen Geräte haben dann aber ne Sekunde später mit anderen IP durchaus erfolg (hier wird garnichts geblockt und die sind
alle in der Default Zone).
Habe auch kein Region Blocking. AD Blocker kann es nicht sein, die werden separate ausgewiesen.
Machen wir es kurz ich habe den "Übeltäter"
z.B: die "94.16.122.152" die auch bei dir auftaucht...
root@Lisa:~# ipset list TOR | grep 94.16.122.152
94.16.122.152Die ist in der TOR Sperrliste drinnen die (in neuste Network Version) bei den "Intrusion Präventionen" unter "Peer to Peer and Dark Web" mit versteckt / konfiguriert wird wird (ältere Version hatten da nen extra Punkt )
Da läuft dann halt ein TOR Exit node neben einem NTP Server auf der IP. Diese "Sperrlisten" haben bei Unifi
Priorität und sind so ziemlich sie ersten die abgearbeitet werden wenn ein Paket durch den Filter läuft.
Lösung: TOR abschalten im IDS oder besser Ausnahme erstellen für deinen DNS Netz, oder für die Ziel IPs.
oder einfach damit leben mit dem wissen das der eh nen anderen Server befragen wird beim nächsten abgleich.
Display MoreMoin,
Mhhh so auf den zweiten und dritten blick sieht alles OK aus. Die Regeln währe sogar überflüssig den des gibt ja noch dem "Allow All Traffic"
Pauschal wird auch nicht NTP einfach so geblockt (jedes handy, jeder pc würde sonst schnell keine Zeit mehr haben)Nun habe ich aber auch mal bei mit geschaut.
Die gleichen Geräte haben dann aber ne Sekunde später mit anderen IP durchaus erfolg (hier wird garnichts geblockt und die sind
alle in der Default Zone).Habe auch kein Region Blocking. AD Blocker kann es nicht sein, die werden separate ausgewiesen.
Machen wir es kurz ich habe den "Übeltäter"
z.B: die "94.16.122.152" die auch bei dir auftaucht...
Coderoot@Lisa:~# ipset list TOR | grep 94.16.122.152 94.16.122.152Die ist in der TOR Sperrliste drinnen die (in neuste Network Version) bei den "Intrusion Präventionen" unter "Peer to Peer and Dark Web" mit versteckt / konfiguriert wird wird (ältere Version hatten da nen extra Punkt )
Da läuft dann halt ein TOR Exit node neben einem NTP Server auf der IP. Diese "Sperrlisten" haben bei Unifi
Priorität und sind so ziemlich sie ersten die abgearbeitet werden wenn ein Paket durch den Filter läuft.Lösung: TOR abschalten im IDS oder besser Ausnahme erstellen für deinen DNS Netz, oder für die Ziel IPs.
oder einfach damit leben mit dem wissen das der eh nen anderen Server befragen wird beim nächsten abgleich.
Moin,
danke für die Erklärung und ja die IPs sind im IDS drin. Sinnvoll wäre wenn der Block so gezeichnet wäre (dann hätte ich es wohl gefunden). Aber jetzt ist alles klar. Jetzt ist mir auch klar warum ich NTP Fehler im Pi-Hole manchmal sehe. ... habe für den DNS VLAN jetzt mal das IDS aus gemacht.
Danke nochmals
Sinnvoll wäre wenn der Block so gezeichnet wäre (dann hätte ich es wohl gefunden).
Bei solchen Sachen am besten immer direkt mal einen Hinweis / Feature Request an Ubiquiti absenden. Der ganze Teil, dass man überhaupt Protokollierung über die GUI hat, ist noch ziemlich neu und definitiv noch nicht ausentwickelt. Manchmal hört UI sogar auf seine Kunden... 
Der Ansatz mit dem protokollieren ist ja ganz nett, aber meiner Meinung nach der falsche Ansatz.
Wenn ich sage, dass TOR und Co. gesperrt werden soll, will ich bestimmt nicht NTP oder SMTP gesperrt haben. Nur nach IP-Adresse-Listen(gerade bei TOR häufig veraltet ) zu sperren ist da billig, da muss dann auch nach den Ports geschauen oder gar in die Pakete, sind ja bei NTP offen. Ist für mich Recht weit von einem IDS entfernt, weil dedektiert wird da gar nichts.
Du verkennst glaube ich etwas die Komplexität bei der Kontrolle verschiedener Protokolle. Ich kann nicht von mir behaupten, die Mechanismen hinter TOR wirklich vollständig verstanden zu haben, aber so weit ich es verstehe, kann ein IDS nicht mehr tun, als bekannte Entry- oder Exit-Nodes zu blacklisten. Gäbe es die IP-basierte Blockade hier nicht, hätte das Gerät keine Handhabe mehr gegenüber diesem Protokoll - so zumindest mein Verständnis.
Ansonsten funkioniert das IDS hier schon "intelligent", denn Du kannst ICMP auswählen und trotzdem noch Pingen, Du kannst VoIP auswählen und trotzdem noch telefonieren. Hier wird also offenbar durchaus zwischen regulärem und verdächtigem Verhalten auf dem jeweiligen Protokoll geprüft. Wenn überhaupt geprüft wird. Ist ja schon alles immer relativ black boxig...
Na ja die "Blocke TOR" hat nicht mit dem IDS also genauer mit dem Suricata zu tun.
Das ist da zwar in den einstellungen mit eingebaut, sind aber eher nur IP Listen die
sich UO hier schnappt (sind offiziell zugänglich .z.B hier) und haut die über die Firwall.
Chain TORLOGNDROP (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere match-set TOR_WHITELIST_SRC src
RETURN all -- anywhere anywhere match-set TOR_WHITELIST_DST dst
NFLOG all -- anywhere anywhere limit: avg 1/min burst 5 nflog-prefix "[IGNORE LOGGING]" nflog-group 3 nflog-threshold 16
DROP all -- anywhere anywhereHier wird ggf. noch geschaut ob die IP nicht doch in den ausnahmen steht.
Kein Logging würde sogar "ein wenig sinn machen" wobei einstellbar schöner wer. Aber ich würde keine Nachricht wollen
weil Tor IP versuch bei mir anzuklopfen. (Stichwort:"Grundrauchen im Internet2, ich weis ja das ich alle paar Sekunden gescannt werde)
Nachtrag:
TOR hat mit UDP nicht viel am Hut. Aufgrund das NTP auch in den den <1024 Port Bereich sitzt, könnte man sogar sauber trennen.
Aber nun das ist Aufwand für wieviele TOR Exit Nodes die gleichzeitig noch NTP anbieten und in einem Pool sind ?
Was is mit anderen TCP Diensten ? Da wird schwer bis unmöglich die auseinander zu halten zwischen TOR und nicht TOR Traffic.
Hier mal gerade noch so ein Beispiel für Irritationen. Das ist AD-Block und die Firewall gegen googel DNS.
Machen wir es kurz ich habe den "Übeltäter"
z.B: die "94.16.122.152" die auch bei dir auftaucht...
Das sagt Tante Google dazu...
"Die IP-Adresse 94.16.122.152 ist eine IPv4-Adresse, die zu einem Bitcoin-Node gehört. Sie wird von Hurricane Electric aufgelistet und gehört dem AS197540."
Ich glaube es wird immer was geben was in irgendwelchen Listen reingestekt wird und dann blockiert wird was nicht unbedingt sein sollte...
also dann NTP, Bitcoin, TOR Exit Node, Mail Server, HTTP... klingt wie ne 08/15 Kiste von einem 08/15 Nerd der sich austobt.
Nix besonders, nichts schlimmes 
Ja das liegt halt einfach mal daran, das eine IP eben nur eine Überschrift für eine Menge Dienste sein kann. Das fängt damit an, dass diverse Ports bestimmte Dienste zur Verfügung stellen und ein Webserver da drauf mit seinen vhosts diverse unterschiedliche Websites für diverse hostnames anbietet.
Heisst also wenn man nur die IP als Grundlage für das blocken benutzt, weil die in einer Liste steht, dann sperrt man automatisch den Zugriff zu zig Diensten und Websites, obwohl da nur ein faules Ei existiert, der halt der Grund für die Auflistung der IP war/ist.
Es müssten also viel komplexere Listen her die auch komplexer abgefragt werden ... die müssen aber gepflegt und aktuell sein ... hilft sonst ja auch nicht wirklich.
Es müssten also viel komplexere Listen her die auch komplexer abgefragt werden ... die müssen aber gepflegt und aktuell sein ... hilft sonst ja auch nicht wirklich.
Und wahrscheinlich die Zeiten hoch schrauben, wenn das alles abgefragt werden muss
Don’t have an account yet? Register yourself now and be a part of our community!
