Firewall Logs und default Firewall Regeln einsehen/ändern/löschen

Es gibt 11 Antworten in diesem Thema, welches 5.207 mal aufgerufen wurde. Der letzte Beitrag () ist von lycra.

    Hallo,

    Da ich mit meinem IPTV Debugging nicht weiter komme möchte ich mich nun mal der Firewall widmen um sicher zu gehen dass nich hier was klemmt
    sprich blockiert zwischen mir und meinem IPTV Provider.

    Ich möchte demnach

    • (a) die Einstellungen der automatisch angelegten Firewallregeln einsehen und eigentlich möchte ich diese auch ändern bzw löschen können wenn mir danach ist und
    • (b) brauchbare Firewall logs einsehen können.

    Somit in der Zusammenfassung meine Fragen (UDM-SE):

    • Wie oder wo kann ich die automatisch angelegten Firewall Regeln einsehen / ändern / löschen ?
    • Wo und wie kann ich brauchbare Logs der Firewall einsehen / analysieren mit dem Ziel eventuell geblockte multicast Anfragen zu erkennen?

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    hmm, niemand da der sich damit auskennt? Debugging scheint mit den Unifi Geräten nicht so einfach ?

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    luxlicht

    Moin sowiet ich weiss kannst du daran nix ändern oder löschen, das einzigee was man machen kann ist weitere Regeln erstellen um etwas zu ermöglichen.


    mfg

    luxlicht

    Ich nochmal. Irgendwie beschäfftigt mich dein Fall doch etwas bin aber völlig unerfahren in diesen Dingen. Ich habe heir die UDM Pro und dort habe ich mir Netzwerke eingerichtet. Eines wo meine TV Geräte drinn sind und meine VU´s.

    Vu´s sind Enigma 2 Receiver die mehrere Tuner haben und auch IPTV und Internet Radio können.

    Wie gesagt habe ich mir Netzwerke eingerichtet und dann das hier befolgt - UniFi Allgemein | Firewall-Regeln by EJ

    Dann habe ich es getestet auf meiner VU ein IPTV Paket eingepflegt und siehe da es geht.

    Ist vlt nicht ganz was du suchst, aber ein Anfang, damit du siehst es geht. Ich denke das wenn du einen IPTV Provider hast das da vlt irgendeine Portfreigabe bei dir gemacht werden muss, vlt aber halt da bin ich noch völlig neu auf dem Gebiet.

    Mfg



    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Naichbindas mit diesem Beitrag zusammengefügt.

    Ich möchte zumindest einsehen können was genau in den Regeln definiert ist :winking_face: Der nächste Schritt ist halt dass ich irgendwo in einer Logdatei klar sehen möchte was "dropped" oder "accepted" wurde und durch welche Regel. Das /var/log/messages scheint mir ja der Wahnsinn da was zu finden.

    Wenn man herausfinden möchte ob zum Beipiel IPTV nicht funktionniert weil irgendwas gedropped wird wäre es hilfreich sich Firewall logs ansehen zu können in denen klar steht was durch welche Regel gelaufen ist (indem man Logging ein- bzw ausschaltet pro Regel).


    Wenn man sich die neuen GUI so ansieht wird's nicht einfacher Dinge zu finden :winking_face: aber mir wäre auch ein Weg über SSH gut, wenn es denn jemand gibt der da weiter weiss :winking_face:

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    Nunja,

    die autimatisch erzeugten Regeln kann man sich sehr schön im Controller unter Settings --> Routing & Firewall --> Rules IPv4 / Rules IPv6 --> LAN IN / LAN OUT ansehen oder auch auf der Console als root (oder eben jenen Rachten) mit iptables -L. Hier (auf der Console) kannst Du die Regeln auch anpassen, löschen oder mit Log-Paramtern versehen --> siehe man-Page.

    Da Du mit der UDM-SE meines Wissens nach auch näher an meinem USG als an den üblichen UDMs bist, könntest Du auch das eine oder andere Paket auf der Console nachinstallieren.

    Bitte aber AUF KEINEN FALL :exclamation_mark: apt update oder gar apt upgrade ausführen und "stumpf" alles aktualisieren. Das könnte Dir die UDM "zerlegen".

    Vielleicht schaust Du Dir mal an, wie Du die Logs (syslog) auf einen entsprechenden Server weiterleiten kannst, um sie Dir da (besser) ansehen zu können. Ich kann das unter Settings unten bei Remote Logging ganz einfach konfigurieren.

    Zitat von luxlicht

    Ich möchte zumindest einsehen können was genau in den Regeln definiert ist :winking_face: Der nächste Schritt ist halt dass ich irgendwo in einer Logdatei klar sehen möchte was "dropped" oder "accepted" wurde und durch welche Regel.

    Wenn dafür keine Regel besteht, dann wirst Du nix sehen. Bei den automatischen Regeln gibt es kein Log. Ich habe bei mir aber folgendes gefunden:

    Code
    Chain IPSLOGNDROP (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning prefix "IPS BLOCK: "
DROP       all  --  anywhere             anywhere

    Oder ohne "Übersetzung" (-n; numeric output of addresses and ports):

    Code
    Chain IPSLOGNDROP (2 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "IPS BLOCK: "
DROP       all  --  0.0.0.0/0            0.0.0.0/0

    Über den Controller (Legacy GUI) kann ich bei mir leider nichts ansehen da "Edit" ausgegraut ist ;-). Muss dann wohl über SSH ran.
    Da es ja dort eine "Drop" Regel gibt würde ich gerne wissen ob diese greift und mir eventuell Probleme verursacht.

    Werde mir das mit den iptables mal ansehen, vielen Dank!

    Hier auch mal etwas was ich bei meiner Suche gefunden habe und was vielleicht für den einen oder anderen interessant ist (das ist NICHT von mir):

    Zitat

    ⚠️ WARNING: The commands below run mongodb with full admin rights on the settings database, so be super careful not to change anything

    It looks like the UDM settings are stored in this "ace" database, with the underlying MongoDB files stored in /data/unifi/data/db I think. This can be explored as follows.

    • SSH into UDM as root
    • Launch Unifi OS shell: unifi-os shell. (den Teil brauchte ich nicht, ging auf der UDM-SE nicht)
    • Launch mongo database client: mongo 127.0.0.1:27117
    • Switch to "ace" database: use ace
    • List collections in database: db.getCollectionNames()
    • List firewall rules: db.firewallrule.find().pretty()
    • List firewall port/address groups: db.firewallgroup.find().pretty()
    • List network configurations: db.networkconf.find().pretty()
    Zitat von razor

    Wenn dafür keine Regel besteht, dann wirst Du nix sehen. Bei den automatischen Regeln gibt es kein Log. Ich habe bei mir aber folgendes gefunden:

    Code
    Chain IPSLOGNDROP (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning prefix "IPS BLOCK: "
DROP       all  --  anywhere             anywhere

    Interessant ist dass bei deinem LOG hinten ein prefix steht, das heisst für mich dass alles Messages welche diesen Eintrag betreffen mit IPS BLOCK prefixed werden und damit im Log zu finden sind. Bei mir steht überall nur "LOG level warning", sonst nix.

    Bilder

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von luxlicht mit diesem Beitrag zusammengefügt.

    Zitat von luxlicht

    Interessant ist dass bei deinem LOG hinten ein prefix steht, das heisst für mich dass alles Messages welche diesen Eintrag betreffen mit IPS BLOCK prefixed werden und damit im Log zu finden sind. Bei mir steht überall nur "LOG level warning", sonst nix.

    Wie Dir sicherlich am Chain-Namen IPSLOGNDROP aufgefallen ist handelt es sich dabei um das Log, welches durch das Aktivieren von IPS erzeugt wird.

    Bekommst Du denn mit iptables -l etwas angezeigt? Magst das mit uns teilen - gern als Code (Button </>)?

    Hallo,


    Ja ich bekomme sogar jede Menge angezeigt, hier dann die "Default" rules vom WAN:

    Nun stellt sich die Frage ob ich eventuell selbst ein Prefix hinzufügen kann/soll. Siehst du denn dein "Prefix" für IPS im Log vor den entsprechenden Messages?

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    Werde heute Abend eine Teamviewer Sitzung mit dem Support haben wegen der Default FW Rules welche im Serverlog laufend Fehlermeldungen erzeugen. Bin mal gespannt ob es sich lohnt, denn durch die Zeitverschiebung wird die Sitzung erst spät heute Abend sein :smiling_face:

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    Gefällt mir 1

    Nicht schlecht, dass die soetwas anbieten!

    Zitat von lycra

    Nicht schlecht, dass die soetwas anbieten!

    Bin beim Level2 Support, angefangen hat's mit dem IPTV/IGMP Thema und der Diskussion warum das immer noch nicht integriert ist. Nun sind wir halt an dem Punkt gelandet wo ich darauf hingewiesen habe dass meine Serverlog laufend Fehlermessages rausschreibt dass die Default FW Rules nicht gerendert werden konnten wegen einer IP Adresse die ich nie vergeben habe. Da ich überall den letzten Softwarestand habe, teilweise ReleaseCandidate, denke ich dass da bei UI auch jemand wissen möchte was genau auf meiner UDM-SE vor sich geht. Vielleicht trägt's ja zu einer Bugerkennung und dann Behebung bei - dann haben alle etwas davon :winking_face:

    Ursprüngliche Konfiguration: Fritzbox 7490 + HP ProCurve 24Port PoE (JG1926A) + 6x UAP-FlexHD
    Jetzt: Fibre Anschluss, UDM-SE, USW-Aggregation, USW-Pro-24-PoE, 6x UAP-FlexHD, QNAP NAS TS-863XU, Axis Kameras, IPTV, Sonos

    Gefällt mir 1
    Zitat von luxlicht

    Vielleicht trägt's ja zu einer Bugerkennung und dann Behebung bei - dann haben alle etwas davon :winking_face:

    Das wäre schön :winking_face:

    Find ich aber auch gut vom Support dass die das so anbieten