Firewall Trace

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Firewall Trace

Beitrag von LancomF »

Guten Morgen,

ich habe nur eine kurze einfache Frage:
War es schon immer so, dass im "Firewall" Trace nur die Pakte angezeigt werden,
welche "gedropped" werden?
Und wie sehe ich alle Pakete, welche über die Firewall laufen?


Danke und schönen Sonntag.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall Trace

Beitrag von backslash »

Hi LancomF,
War es schon immer so, dass im "Firewall" Trace nur die Pakte angezeigt werden, welche "gedropped" werden?
jain... im Firewall-Trace tauchen die Pakete auf, die gedroppt werden und alle, die einen Trigger überschreiten, an dem eine Log-Aktion (Syslog/SNMP/Mail) hängt. Und das war schon immer so.
Und wie sehe ich alle Pakete, welche über die Firewall laufen?
im IPv4 laufen alle Pakete, die nicht an das LANCOM gerichtet sind, über die Firewall (es gibt keinen Inbound/Outbound-Zweig).
im IPv6 laufen alle Pakete über die Firewall, wenn auf mindestens einem der beteiligten Interfaces die Firewall aktiv ist (auf dem #Loopback-Interface ist sie immer aktiv).

D.h. wenn du einen IP-Router- (IPv4) oder IPv6-Router- (IPv6) Trace laufen läßt, siehst du alle Pakete, die über die Firewall laufen (im IPv6-Router-Trace wird das weiterleiten an die Firewall auch explizit erwähnt).

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Firewall Trace

Beitrag von Jirka »

Hallo Backslash,
backslash hat geschrieben:jain... im Firewall-Trace tauchen die Pakete auf, die gedroppt werden und alle, die einen Trigger überschreiten, an dem eine Log-Aktion (Syslog/SNMP/Mail) hängt. Und das war schon immer so.
die Firewall-Regeln hier haben keine Log-Aktion:

Code: Alles auswählen

[Firewall] 2017/12/04 23:14:29,283
Packet matched rule VPN_VERBINDUNGSAUFBAU_ABWARTEN
DstIP: 10.10.10.1, SrcIP: 10.10.10.11, Len: 73, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 53156

test next filter (no matching condition)

[Firewall] 2017/12/04 23:14:29,283
Packet matched rule ALLOW-DNS
DstIP: 10.10.10.1, SrcIP: 10.10.10.11, Len: 73, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 53156

packet accepted

[Firewall] 2017/12/04 23:14:29,296
Packet matched rule CONTENT-FILTER
DstIP: 216.58.212.162, SrcIP: 10.10.10.11, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 63975, Flags: S
Seq: 151161569, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted

Create proxy connection for profile CF-KOMFORT&SCHUTZ
packet accepted

[Firewall] 2017/12/04 23:14:31,236
Packet matched rule VPN_VERBINDUNGSAUFBAU_ABWARTEN
DstIP: 10.10.12.1, SrcIP: 10.10.10.10, Len: 79, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 161, SrcPort: 55555

test next filter (no matching condition)

[Firewall] 2017/12/04 23:14:31,236
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 10.10.12.1, SrcIP: 10.10.10.10, Len: 79, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 161, SrcPort: 55555

packet accepted

[Firewall] 2017/12/04 23:14:31,856
Packet matched rule VPN_VERBINDUNGSAUFBAU_ABWARTEN
DstIP: 10.10.10.10, SrcIP: 192.168.87.1, Len: 142, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 514, SrcPort: 514

test next filter (no matching condition)

[Firewall] 2017/12/04 23:14:31,856
Packet matched rule SERVERZUGRIFF_ALLOW
DstIP: 10.10.10.10, SrcIP: 192.168.87.1, Len: 142, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 514, SrcPort: 514

packet accepted
Viele Grüße,
Jirka
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: Firewall Trace

Beitrag von LancomF »

backslash hat geschrieben: jain... im Firewall-Trace tauchen die Pakete auf, die gedroppt werden und alle, die einen Trigger überschreiten, an dem eine Log-Aktion (Syslog/SNMP/Mail) hängt. Und das war schon immer so.
Hi Backslash,

alles klar, dann weiß ich an was es liegt.
Ich hatte die Log-Aktionen auf das für mich Nötigste reduziert.
Diese Auswirkung war mir nicht bewusst.

Danke für deinen Hinweis!
Antworten