Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2425 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FW Regel Logging

moddix
Hallo zusammen,

folgende Frage:

Wie kann ich eine FW Regel loggen, das heisst ich möchte nur das sehen, wo da durch geht?

Man kann ja in der Regel auch das Log aktivieren.

Wie ist der Filter im Livelog der FW zu gebrauchen: Durch Koma trennen und ständig Reload anklicken geht da noch mehr?

Wie setzte ich den Filter auf ein Host? ohne ständig reload und 100 andere angaben im Logfenster...

Danke für Inputs


This thread was automatically locked due to age.
  • 0
    Hi moddix,
    also du meinst, positive Live Log Einträge?
    Ich hoffe, ich verstehe deine Frage richtig.

    z.B.
    live_log.PNG

    Im Live Log:
    Filter: "IP" eingtragen und ENTER - Autoscroll ein oder aus, wenn du was genauer lesen willst, natürlich abschalten. Jetzt siehst du sowohl erfolgreiche Connections, als auch geblockte.

    Nice greetings
  • 0
    Ok, da erscheinen generell nur diese mit dem aktiven log (Screenshot)? Möchte man nur port 443 loggen gibt man einfach 443 ein?

    Da kommen aber immer noch andere Sachen als 443, woran kann das liegen?
  • 0
    Du packst diese Regel auf Position 2 und erstellst eine neue, ersetzt das ANY durch die gewünschten Protokolle, aktivierst das Logging und fertig.

    Nice greetings
  • 0
    @moddix

    Im Grunde hat dir "GuyFawkes" bereits alle Infos gegeben,
    die du benötigst.

    Im Firewall-Live-Log werde grundsätzliche alle Verbindungen angezeigt,
    für die das Logging aktiviert wurde.

    Verbindungen, die in die Default-Policy laufen ( DROP ),
    werden automatisch durch die UTM geloggt,
    da dies intern so vorkonfiguriert ist ( iptables-Regel ).

    Das Logging für die Default-Policy kann man ( z.B. bei Performanceproblemen wegen zu vielen Schreibvorgängen der Festplatte wegen vielen geloggten Paketen ) über eine selbst erstellte "ANY" / "ANY" / "ANY" - Regel ( mit DEAKTIVIERTEM Logging ) deaktivieren.

    Desweiteren kannst du natürlich durch selbst erstellte Firewall-Regeln,
    bei denen du das Logging aktivierst,
    dafür sorgen, dass Pakete, die in diese Regel laufen, geloggt werden.

    Wenn du im Live-Log nach HTTPS-Verbindungen ( Port 443 ) suchen möchtest,
    dann kannst du auch ohne selbst erstellte Firewall-Regel danach suchen,
    dafür musst du einfach im Eingabefeld für den Filter ":443" eingeben ( ohne Anführungszeichen ).

    Das kannst du natürlich auch für andere Ports machen.

    In der Regel geht man so aber nicht vor,
    normalerweise erstellt man eine entsprechende Firewall-Regel und aktiviert das Logging,
    so wie "GuyFawkes" es beschrieben hat.

    Im Live-Log kannst du außerdem erkennen, durch WELCHE Firewall-Regel ein Paket ERLAUBT/VERBOTEN wurde ( die Nummer der Regel wird angezeigt ).

    Ob ein Paket erlaubt oder verboten wurde wird übrigens auch farblich gekennzeichnet.

    Das Live-Log wird automatisch aktualisiert, du brauchst also nicht manuell "reloaden".

    Über das Häckchen bei "Auto Scroll" kannst du steuern,
    ob der Scroll-Balken bei neu geloggten Paketen automatisch ans Ende des Log-Fensters scrollen soll oder nicht.

    Die Eingabe im Filter bewirkt, dass nach entsprechender Eingabe,
    folgende Verbindungen nur noch im Live-Log angezeigt werden,
    wenn der Filter auf diese zutrifft.

    Nimmt man den Filter wieder raus, so werden wieder ALLE Verbindungen
    angezeigt, für die das Logging aktiviert ist, dann eben unabhängig vom Filter ( da dieser ja leer ist )

    Gruß, Datax
  • 0
    Danke für deine Ausführung :-)
Cookie Information Banner