Drop Invalid von 9.9.9.9 ?

Was heißt "nur als Fallback für meinen Pihole Container"? Erster DNS-Server in Deinem Netz ist PiHole, zweiter dann Quad9?

Versuche doch mal, über das nslookup-Pendant von iOS rauszufinden, ob das iPhone überhaupt versucht, den Pi anzusprechen. Mit Quad9 soll es ja anscheinend nur im Notfall sprechen.

Die Meldung sagt nicht zwingend, dass etwas blockiert wurde (auch wenn es den Anschein macht). Es wurde ein aus Sicht der UDM SE ungültiges Paket verworrfen, welches das iPhone gesendet hat. Solange am Gerät alles funktioniert, würde ich mir darüber keine Gedanken machen.

Doof formuliert glaube ich: Also ja, es wurde eine Anfrage blockiert, aber nicht, weil es dafür eine Firewall-Regel geben würde, sondern weil die Anfrage technisch ungültig war.

So muss man das glaube ich lesen.

Bauch sagt das was Network bereits sagte. Aber genau kann das so keiner sagen denn bisher weist nur du was in der Regel

„Drop Invalid“ genau drinnen steht. Das kann ja alles mögliche sein den nur weil die Regeln diesen Namen hat ist ja nicht sicher

was sich GENAU hinter der Regeln auch verbirgt.

Wenn die Regeln anschlägt und sagt das sie greift weil dein client "iPhone 13 Pro“ zu 9.9.9.9 will

dann ist das auch so. Ob das nun von dir gewollt ist oder irgendeine APP auf dem Handy eigenmächtig Quad9 anruft

(oder über ein MDA Profil dazu gesungen wird) sei mal dahin gestellt... aber der Client will dahin und die Regeln wird gettriggerd...

Daher Zeig uns bitte deine Regel „Drop Invalid“

Es wird ganz sicher die automatisch generierte Regel <<Drop / All / Internet Local / drop invalid state>> sein.

Zitat von Networker

Es wird ganz sicher die automatisch generierte Regel <<Drop / All / Internet Local / drop invalid state>> sein.

Ich sag mal nein. Wenn währe es eh die „Drop / All / Internet In Drop Invalid State„ weil die "Internet Local“

meint Pakete von Internet zum Gateway selber.

Warum ich so denke:

Die heißt halt "Drop Invalid State„ die von TO nur "Drop Invalid“

Die eigebauten machen keine Logeinträge (zumindest bei mir)

Die eingebaute drop invalid ist der Weg von EXTERN nach Intern

Hihi unten fehlt wohl der entscheidend Teil.....

wird dann wohl aber

so aussehen, korrekt ?

Sprich alles was über Interne LAN zum Gateway kommt wird geDROPt wenn das Paket „Invalid“ ist.

Invalid bedeutet hier das es es NICHT nicht „new", „established" oder „related" ist (oder untracked)

und daher in der Conntrack Tabelle nicht drinnen steht ist und somit nicht vorkommen sollte.

Das passiert wenn z.b ein TCP Client noch Kram sendet obwohl die Verbidung beendet oder

Abgebrochen wurde („FIN“ oder „RST“). Dann gibt kein Eintrag mehr in den Tracking Tabelle

und das nächste Paket wird als Invalid eingestuft. Das Ist dann entweder doofes / falsches Verhalten

vom Gesprächspartner oder wird für „Stealth“ Geschichten missbraucht.

Der „Übliche“ Grund ist aber das X nicht mitbekommen das Y nicht mehr will und sendet trotzdem noch

ein paar Pakete schon/ noch im Buffer waren.

Die Große frage des Warum bei dir GENAU lässt sich freilich so nicht beantworten dazu bedarf es ein

Packettrace mt dem konkreten Verkehr.

Zitat von Carbonide

Das iPhone benutzt Pihole denn ich sehe ihn in der Clients Liste. Aber das ist mir sowieso egal.

Nun dein Iphone Unterhält sich offensichtlich direkt mit 9.9.9.9 das sollte es nicht laut deiner aussage.

Wenn du das nicht eingestellt hast dann wird / Mus es eine „wildgewordenen“ App sein

die eigenmächtig versucht einen eignen DNS zu nutzen... und sei es nur drum und die Üblichen

DNS basierten AD Blocker zu umgehen....

Zitat von gierig

Nun dein Iphone Unterhält sich offensichtlich direkt mit 9.9.9.9 das sollte es nicht laut deiner aussage.

Wenn du das nicht eingestellt hast dann wird / Mus es eine „wildgewordenen“ App sein

die eigenmächtig versucht einen eignen DNS zu nutzen... und sei es nur drum und die Üblichen

DNS basierten AD Blocker zu umgehen

Oder mit deinen Deinen Schindluder treiben.