Fragen zur Firewall

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
daniel337
Beiträge: 54
Registriert: 16 Apr 2012, 15:40

Fragen zur Firewall

Beitrag von daniel337 »

Hallo,

ich habe mal zwei Fragen zur LANCOM-Firewall.


- 1 -

Im Firewall-Trace sehe ich immer wieder eine seltsame Meldung:

[Firewall] 2018/08/24 15:21:45,115
Packet matched rule DENY-ALL
DstIP: 192.168.0.250, SrcIP: 192.168.0.250, Len: 62, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 11037

packet rejected


Warum wird hier die DNS-Abfrage (vom Router selbst - 192.168.0.250 - kommend) auf sich selbst von der Firewall geblockt?
Das lokale Subnet 192.168.0.0/24 hat vollständigen Zugriff nach draußen. Zumindest verstehe ich die hinterlegte Firewall-Regel wohl richtig, oder? LOCALNET (Alle Stationen in allen lokalen Netzen) - siehe Screenshot


- 2 -

Was hat es mit diesen zwei Multicast SIF-Einträgen auf sich? Sind die standardmäßig irgendwie durch einen Assistenenten o.ä. dort hinzugekommen? Ich kann mich nicht erinnern, diese dort mal händisch eingetragen zu haben. Was es damit inhaltlich überhaupt auf sich? - siehe Screenshot

Würde mich über die Auflösung zu diesen beiden Fragen sehr freuen.

Daniel
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Fragen zur Firewall

Beitrag von backslash »

Hi daniel337
Warum wird hier die DNS-Abfrage (vom Router selbst - 192.168.0.250 - kommend) auf sich selbst von der Firewall geblockt?
ich vermute mal, weil du eine recht alte Firemware im Gerät hast... Da gab es früher mal Probleme beim DNS-Forwarding (als das noch über die Maskierung lief)
Was hat es mit diesen zwei Multicast SIF-Einträgen auf sich?
das sind die Einträge für T-Entertain-TV - ohne die läuft das nicht... Die mußt du entweder selbst dort eingetragen haben - oder sie stammen vom T-Entertain-Wizard...

Gruß
Backslash
Benutzeravatar
daniel337
Beiträge: 54
Registriert: 16 Apr 2012, 15:40

Re: Fragen zur Firewall

Beitrag von daniel337 »

Hm, nein, ich habe die aktuellste Version des LCOS installiert.

Das mit dem Assistenten könnte sein. Hab es zwar nicht mehr in irgendeiner Erinnerung, aber gut. Das heißt, wenn ich das Entertainment-Paket der Telekom nicht nutze (was ich gar nicht habe) - dann könnte ich diese zwei Einträge dort löschen?

Was wäre die „eleganteste“ Empfehlung bzgl. der Sache mit dem DNS? Es läuft ja soweit alles, aber die Meldung irritiert bzw. stört mich doch etwas.

Daniel
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Fragen zur Firewall

Beitrag von backslash »

Hi daniel337,
Hm, nein, ich habe die aktuellste Version des LCOS installiert.
dann frage ich mich wirklich wo das DNS-Paket herkommen soll - Hast du zufällig ein Forwarding auf das LANCOM selbst konfiguriert?
Als nächstes stellt sich die Frage, wieso das Paket mit dem DSCP CS6 getaggt ist. Bist du dir sicher daß das Paket vom LANCOM stammt?
Und als letztes frage ich mich, warum das Paket überhaupt in die Deny-All Regel läuft - es müßte eingentlich vom IDS gefangen werden, weil Quell- und Zieladresse gleich sind

Du könntest dir auch von der Firewall eine Mail schicken lassen für alle Pakete, die in die Deny-All Regel laufen - dann siehst du dort ggf. etwas mehr über das Paket...

Gruß
Backslash
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Fragen zur Firewall

Beitrag von 5624 »

Ist eventuell "Pakete von internen Diensten über den Router senden" aktiv?
LCS NC/WLAN
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Fragen zur Firewall

Beitrag von daniel337PVS »

Nein, der Haken dafür ist nicht gesetzt.

Ich habe wirklich überhaupt keine Idee mehr, was die Ursache für diese Meldungen sein könnte!

Hat jemand noch eine weitere Idee??

Daniel
Antworten