Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 4 subscribers
  • Views 25834 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift mal und dann wieder nicht

MarcoSoeder

Guten Morgen zusammen,

ich habe bei einer Firewall Regel ein recht kurioses Phänomen. Wie auf dem Screenshot zu sehen habe ich meine Regel Nr. 33 gesetzt "PublicSRV -> DCSRV - Service LDAP TCP & UDP allow"

Ganz willkürlich greift die Regel und dann wieder nicht.  Hat einer von Euch eine Idee dazu?

Danke und Grüße Marco



This thread was automatically locked due to age.
  • 0

    Hallo, 

    mich wundert hier die unterschiedliche DST MACs. 

     

    Die Rule greift bei 6e nicht bei 5a. 

     

    Warum wird hier von extern unterschiedliche MACs angesprochen?

    Da solltest du einmal weiter forschen. 

     

    Gruß.

    __________________________________________________________________________________________________________________

  • 0

    Guten Morgen Marco,

    habe keine Ahnung von der UTM, der Screenshot zeigt jedenfalls unterschiedliche dstmac für die DROPs und die rule #33 (und zwei IPs zu einer MAC).

    Christian 

  • 0

    Hi, besten Dank für den Hinweis.

    Die MAC "6E" ist das outside Interface der UTM also im Netz 83.X.X.X direkt am Public-SRV - Hier greift die Regel allow von outside nach 172.x.x.x

    Die Mac "5a" ist das Inside Interface der UTM im Netz 172.x.x.x am DC hier kommt der Deny ins Spiel.

     

    Anbei nochmal ein Screenshot, ich hab gerade keine Idee dazu...

    Grüße Marco

  • 0 in reply to MarcoSoeder

    Hallo,

     

    E0 wird nicht angesprochen. Kennt auch die Source nicht. 

    5A sollte die Source auch nicht kennen, tut Sie aber. 

     

    Kann man bitte auf dem Sender die ARP Tables überprüfen? 

    Das Konstrukt hier zeigt auf, dass der SRC Server scheinbar unterschiedliche Pakete schickt oder jemand dazwischen. 

    ETH6 ist WAN oder DMZ? Ist der SRC Server direkt attached oder übers WAN erreichbar? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Unknown said:
    ETH6 ist WAN oder DMZ?

    WAN an einem dedizierten Switch, VMNIC7, ETH6 der UTM und ISP Router stecken direkt auf diesem Switch.
    Der Public-SRV hat auch nur diese eine NIC

    Unknown said:
    Kann man bitte auf dem Sender die ARP Tables überprüfen? 

    Routen tut das die UTM zwischen "ETH6 Public" und "ETH0 Inside"

    (Ich hab dass so nicht gebaut da distanziere ich mich vehement von, das ist ein gewachsenes Konstrukt welches ich erbte :-/ )

    Grüße

  • 0 in reply to MarcoSoeder

    Noch zur Ergänzung: In meiner Freihandzeichnung hatte ich beim Public-SRV die IP Endung.5 hingemalt das ist die 35 und ETH6 der UTM die .33

  • 0 in reply to MarcoSoeder

    Hi,

    bist Du dir sicher mit den MAC Adressen der UTM?
    Ich bin mir nicht sicher ob als DSTMAC die Adresse des eingehenden Interface steht. Wenn die Firewall die Pakete schon verarbeitet hat, müsste nach meinem Verständnis die DSTMAC die des nächsten Inferface, hier also ETH0 sein, oder?

    Kannst Du mal die relevanten Einträge aus dem Firewall Log posten?

    Gruß

    Jas

  • 0 in reply to Jas Man

    Jas Man said:
    bist Du dir sicher mit den MAC Adressen der UTM?

    Ja bin ich, anbei nochmal Screenshots der UTM Interfaces inkl. Hardware Eigenschaft und ein IPCONFIG /ALL Auszug der SRC & DST Devices.

    Das Firewall Log ist das vom ersten Beitrag oder meintest du noch ein anderes Log?

    Jas Man said:
    Ich bin mir nicht sicher ob als DSTMAC die Adresse des eingehenden Interface steht. Wenn die Firewall die Pakete schon verarbeitet hat, müsste nach meinem Verständnis die DSTMAC die des nächsten Inferface, hier also ETH0 sein, oder?

    Exakt so habe ich das auch in Erinnerung und gerade da macht es mich ja so stutzig :-/

    Grüße

  • 0 in reply to MarcoSoeder

    Hallo,

     

    bitte auf der Shell einmal einen tcpdump auf das eine und das andere Interface durchführen. 

    Irgendwie habe ich das Gefühl, dass die Pakete falsch ankommen. Dann besteht ein Routing Problem vom Switch davor. 

     

    tcpdump -ni ethX host IP1 and host IP2 

    Das ggf. parallel ausführen. 

    __________________________________________________________________________________________________________________

  • 0 in reply to MarcoSoeder

    Ich meinte die Logs aus den Log Dateien unter Logging & Reporting -> View Log Files. Da öffnest Du den Firewall Log und suchst nach den entsprechenden Einträgen für die IPs (STRG + F). Poste bitte mal ein paar geblockte und ein paar erlaubte Verbindungen.

    Der Log zeigt mehr Informationen, u.a. über welches Interface die Pakete eingegangen sind. Alternativ geht auch der von LucaChristmann1 vorgeschlagene TCPDUMP. Aber da müsstest Du ggf. warten bis beide Situationen (geblockt und erlaubt) aufgetreten sind falls es nicht regelmässig passiert.

    Gruß

    Jas

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML