Hallo,
ich habe mal zwei Fragen zur LANCOM-Firewall.
- 1 -
Im Firewall-Trace sehe ich immer wieder eine seltsame Meldung:
[Firewall] 2018/08/24 15:21:45,115
Packet matched rule DENY-ALL
DstIP: 192.168.0.250, SrcIP: 192.168.0.250, Len: 62, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 11037
packet rejected
Warum wird hier die DNS-Abfrage (vom Router selbst - 192.168.0.250 - kommend) auf sich selbst von der Firewall geblockt?
Das lokale Subnet 192.168.0.0/24 hat vollständigen Zugriff nach draußen. Zumindest verstehe ich die hinterlegte Firewall-Regel wohl richtig, oder? LOCALNET (Alle Stationen in allen lokalen Netzen) - siehe Screenshot
- 2 -
Was hat es mit diesen zwei Multicast SIF-Einträgen auf sich? Sind die standardmäßig irgendwie durch einen Assistenenten o.ä. dort hinzugekommen? Ich kann mich nicht erinnern, diese dort mal händisch eingetragen zu haben. Was es damit inhaltlich überhaupt auf sich? - siehe Screenshot
Würde mich über die Auflösung zu diesen beiden Fragen sehr freuen.
Daniel
Fragen zur Firewall
Moderator: Lancom-Systems Moderatoren
Fragen zur Firewall
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Fragen zur Firewall
Hi daniel337
Gruß
Backslash
ich vermute mal, weil du eine recht alte Firemware im Gerät hast... Da gab es früher mal Probleme beim DNS-Forwarding (als das noch über die Maskierung lief)Warum wird hier die DNS-Abfrage (vom Router selbst - 192.168.0.250 - kommend) auf sich selbst von der Firewall geblockt?
das sind die Einträge für T-Entertain-TV - ohne die läuft das nicht... Die mußt du entweder selbst dort eingetragen haben - oder sie stammen vom T-Entertain-Wizard...Was hat es mit diesen zwei Multicast SIF-Einträgen auf sich?
Gruß
Backslash
Re: Fragen zur Firewall
Hm, nein, ich habe die aktuellste Version des LCOS installiert.
Das mit dem Assistenten könnte sein. Hab es zwar nicht mehr in irgendeiner Erinnerung, aber gut. Das heißt, wenn ich das Entertainment-Paket der Telekom nicht nutze (was ich gar nicht habe) - dann könnte ich diese zwei Einträge dort löschen?
Was wäre die „eleganteste“ Empfehlung bzgl. der Sache mit dem DNS? Es läuft ja soweit alles, aber die Meldung irritiert bzw. stört mich doch etwas.
Daniel
Das mit dem Assistenten könnte sein. Hab es zwar nicht mehr in irgendeiner Erinnerung, aber gut. Das heißt, wenn ich das Entertainment-Paket der Telekom nicht nutze (was ich gar nicht habe) - dann könnte ich diese zwei Einträge dort löschen?
Was wäre die „eleganteste“ Empfehlung bzgl. der Sache mit dem DNS? Es läuft ja soweit alles, aber die Meldung irritiert bzw. stört mich doch etwas.
Daniel
Re: Fragen zur Firewall
Hi daniel337,
Als nächstes stellt sich die Frage, wieso das Paket mit dem DSCP CS6 getaggt ist. Bist du dir sicher daß das Paket vom LANCOM stammt?
Und als letztes frage ich mich, warum das Paket überhaupt in die Deny-All Regel läuft - es müßte eingentlich vom IDS gefangen werden, weil Quell- und Zieladresse gleich sind
Du könntest dir auch von der Firewall eine Mail schicken lassen für alle Pakete, die in die Deny-All Regel laufen - dann siehst du dort ggf. etwas mehr über das Paket...
Gruß
Backslash
dann frage ich mich wirklich wo das DNS-Paket herkommen soll - Hast du zufällig ein Forwarding auf das LANCOM selbst konfiguriert?Hm, nein, ich habe die aktuellste Version des LCOS installiert.
Als nächstes stellt sich die Frage, wieso das Paket mit dem DSCP CS6 getaggt ist. Bist du dir sicher daß das Paket vom LANCOM stammt?
Und als letztes frage ich mich, warum das Paket überhaupt in die Deny-All Regel läuft - es müßte eingentlich vom IDS gefangen werden, weil Quell- und Zieladresse gleich sind
Du könntest dir auch von der Firewall eine Mail schicken lassen für alle Pakete, die in die Deny-All Regel laufen - dann siehst du dort ggf. etwas mehr über das Paket...
Gruß
Backslash
Re: Fragen zur Firewall
Ist eventuell "Pakete von internen Diensten über den Router senden" aktiv?
LCS NC/WLAN
-
- Beiträge: 88
- Registriert: 02 Dez 2016, 13:39
Re: Fragen zur Firewall
Nein, der Haken dafür ist nicht gesetzt.
Ich habe wirklich überhaupt keine Idee mehr, was die Ursache für diese Meldungen sein könnte!
Hat jemand noch eine weitere Idee??
Daniel
Ich habe wirklich überhaupt keine Idee mehr, was die Ursache für diese Meldungen sein könnte!
Hat jemand noch eine weitere Idee??
Daniel