UDM SE und Triggers - Firewall Meldungen

Es gibt 31 Antworten in diesem Thema, welches 4.591 mal aufgerufen wurde. Der letzte Beitrag () ist von thghh.

    Ich möchte es nochmals hervorholen. Bin ich hier der einzige der diese Meldungen hat?


    Anders Beispiel:


    Eintrag in Triggers:

    Grandstream WP810 Schlafen

    was blocked from accessing 192.168.60.110 by firewall rule: Drop - Alle internen IP Netze



    Ich verstehe nicht warum denn beide betroffenen Geräte sind im gleichen Netz.


    Ich suche immer noch nach einer Lösung, Wer hat eine Idee?

    Ich hab ähnliche Triggermeldungen, allerdings nur beim Zugriff von Clients aus unterschiedlichen VLAN, zumindest soweit ich im log gerade sehen kann. Das Clients aus dem selben VLAN geblockt werden sollen hab ich bisher noch nicht finden können.


    Das ist meine Regel dazu


    und das die IP Gruppe:

    auf den ersten Blick sieht das für mich such korrekt aus. Die Regel blockiert ja den Zugriff so wie sie da steht.

    Zitat von jkasten

    auf den ersten Blick sieht das für mich such korrekt aus. Die Regel blockiert ja den Zugriff so wie sie da steht.


    Die Regel soll dich den Verkehr zwischen den VLANs blockieren und nicht innerhalb oder?


    Ich habe so viele Einträge und es muss doch dafür eine Erklärung geben oder eine Möglichkeit das zu ändern.


    Was stehet denn bei eich unter Triggers?

    Erstmal zu deiner DNS Geschichte vom Dezember. Bei TCP Verbindungen werden die Source Ports zufällig ausgewählt solange sie

    größer als 1024 sind. Das gilt auch für DNS über TCP. Das steht bei deinen AmazonWürfeln nicht extra bei weil das quasi

    „die grundfeste“ von TCP Verbindungen sind.


    Back zu dem aktuellen Ding.

    Zitat von jkasten

    auf den ersten Blick sieht das für mich such korrekt aus. Die Regel blockiert ja den Zugriff so wie sie da steht.

    Verkehr im gleichen Netzsegment is L2 Traffic, Der router mit der Firewall sollte davon nichts mitbekommen und auch

    nicht blocken können. Der Router oder die Firewall sollte nichtmal groß was von dem Traffic mitbekommen.

    Darauf stützt auch die Regeln mit „Block Intervall Traffic“ und das Funktioniert auch so wie gedacht solange echtes L2

    Switching stattfindet.


    ABER:

    Ich gehe fast jede Wette ein das das eine Gerät bei thghh über den Switch und das andere über SFP angeschlossen ist.

    (oder über den anderen SFP)


    Die UDM (völlig egal ob SE oder die alte Pro) hat nur einen 8 Port Switch (plus 1 intern als Anbindung an die CPU)

    eingebaut. Die beiden SFP oder der 2.5Gb Ethernet Port sind im Grunde nur Netzwerkkarten.

    Diese sind direkt an die CPU geknüppelt.


    Die „Switchfunktion“ oder das Traffic von dem Switch zu den SFP ausgetauscht werden kann erfolgt über

    ein „Bridge interface“ (das gibt es eh für jedes VLAN). Könnte dann z.B so aussehen.


    br0 ist das default VLAN, das ist mit dem Switch verbunden und mit den beiden SFP Port (Ethernet 9 & 10)


    Damit müssen aber auch alle Pakete die von Switch zum SFP wollen (oder von SFP zu SFP) auch auch

    durch die CPU. Und mit auch auch IPTables vorbei.


    Und genau dieser Traffic wird dann über die Regel unterbunden.

    Steckt tghh sein zweites gerät auch auf den Switch wird es direkt funktionieren ohne Änderungen an der Firewall.


    Das ist nicht unbedingt schlechtes Hardware / Software design oder ein bug. Da genau sowas auch gerne als

    „transparenten L2 Firewall“ als Feature verkauft wird. Ist aber meistes trotzdem doof. Weil du es wissen must das diese

    art Regeln auch greifen oder nut greifen wenn wenn Traffic ÜBER die UDM Läuft (halt vom switch zum SFP Port)

    zw. das nicht alle Ports eine „echte Hardware L2 Domain“ bilden sonder das software Switch zum Einsatz kommt

    wo dann ggf. auch gefiltert wird.



    Nachtrag:

    So wegen Lösung des ganzen. Da ich nicht frage stellen möchte warum immer alle alles alles blocken wollen

    um danach wider Löcher einzuschlagen...


    Du braucht im für alle VLANs die „auf beiden Seiten“ sind eine regeln die vor allen anderen sich selber erlauben.

    also „192.168.60./24“ darf zu „192.168.60.0/24“, "Vlan 5 Bereich" zu "Vlan 5 Bereich" usw.





    Einmal editiert, zuletzt von gierig ()

    Danke 1
    Zitat von gierig

    Erstmal zu deiner DNS Geschichte vom Dezember. Bei TCP Verbindungen werden die Source Ports zufällig ausgewählt solange sie

    größer als 1024 sind. Das gilt auch für DNS über TCP. Das steht bei deinen AmazonWürfeln nicht extra bei weil das quasi

    „die grundfeste“ von TCP Verbindungen sind.

    Was müsste ich denn tun damit diese DNS Meldungen nicht mehr auftauchen?


    Zitat von gierig

    Ich gehe fast jede Wette ein das das eine Gerät bei thghh über den Switch und das andere über SFP angeschlossen ist.


    Richtig.


    Die FritzBox als meine Telefonanlage ist an der UDM SE an einem der 8 Switchport angeschlossen.

    Die WLAN Telefone über meine AP am Hauptswitch und der Hauptswitch geht per 10Gb über SFP an die UDM.



    Das betrifft auch meine DNS Server die nicht am Hauptswitch angeschlossen sind sondern an der UDM.




    gierig


    Sehr interessanter Beitrag und dazu konnte ich hier noch nichts zu lesen und war mir absolut neu.

    Einmal editiert, zuletzt von thghh ()

    Zitat von thghh

    Sehr interessanter Beitrag und dazu konnte ich hier noch nichts zu lesen und war mir absolut neu.

    Nimm dir Zeit und frag nach wenn der Kronleuchter nicht anspringen will. Grob ist das ja nun nicht mehr erste Klasse

    Netzwerken sondern das 4 Jahr in Leitungskurs Routerkunde bei denen zwei Jahre Switch’o’Logie als Voraussetzung gelten.

    Und nicht jeder behauptet, wie ich, in früheren leben mal Router gewesen zu sein :smiling_face:


    Sollte man über diese "Besonderheit" nicht etwas in WIKI schreiben?



    Ich hänge nun alle Geräte von der SE auf den Hauptswitch um, wenn meine SE wieder geht, denn die macht gerade nichts mehr.

    gierig


    Geräte umgehängt aber immer noch das gleiche Verhalten. Daran hat es wohl leider nicht gelegen.


    Diese Meldung vom Grandstream WP810 kommt alle 5 Minuten und nur von diesem Gerät.

    Zitat von thghh

    Geräte umgehängt aber immer noch das gleiche Verhalten.

    Alles nun auf dem gleichen Switch im selben Vlan ? Das würde mich doch nun sehr wundern und wundert mich auch.

    Sind das auch keine alten eintrage (mit unter braucht die Kiste bei mit viele Minuten bevor was im log auftaucht)

    Telefon und Fritz sagtest du... wird das wirklich geblockt und geht nicht ?


    Bin grade ratlos kann ja fast nicht sein nicht wenn alles auf dem gleichen Switch hängt.


    Wie ist der ganze Logeintrag mit Quelle und Ziel IP ? Oder besser schalt mal in der Regeln unten das LOG ein.

    und poste das dann den Inhalt von /var/log/ulog/syslogemu.log (cat /var/log/ulog/syslogemu.log)

    Ja alles im gleichen Netz auf dem gleichen Switch aber ich denke ich habe den Fehler gefunden.


    Nur in diesem Telefon war NAT Traversal aktiviert. Habe ich abgeschaltet und nun sind keine Einträge mehr im Log.


    Danke nochmals für deinen Erklärungen und ohne diese wäre ich nicht auf NAT Traversal gekommen.


    Es läuft nun alles und ich habe keine merkwürdigen Einträge mehr und die Geräte lasse ich nun alle auf dem Hauptswitch.