Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 4 subscribers
  • Views 25835 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift mal und dann wieder nicht

MarcoSoeder

Guten Morgen zusammen,

ich habe bei einer Firewall Regel ein recht kurioses Phänomen. Wie auf dem Screenshot zu sehen habe ich meine Regel Nr. 33 gesetzt "PublicSRV -> DCSRV - Service LDAP TCP & UDP allow"

Ganz willkürlich greift die Regel und dann wieder nicht.  Hat einer von Euch eine Idee dazu?

Danke und Grüße Marco



This thread was automatically locked due to age.
  • 0 in reply to Jas Man

    Hallo zusammen,

    ich hab mal exakt die Logs aus der Passage des Screenshots rausgesucht:

    2017:05:30-08:40:57 sg001 ulogd[25797]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth0" srcmac="00:50:56:b6:6a:15" dstmac="00:1a:8c:5f:72:5a" srcip="83.137.XXX.35" dstip="172.18.1.2" proto="17" length="230" tos="0x00" prec="0x00" ttl="127" srcport="52283" dstport="389"
    2017:05:30-08:40:58 sg001 ulogd[25797]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth0" srcmac="00:50:56:b6:6a:15" dstmac="00:1a:8c:5f:72:5a" srcip="83.137.XXX.35" dstip="172.18.1.2" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="64019" dstport="389" tcpflags="SYN"
    2017:05:30-08:41:03 sg001 ulogd[25797]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="33" initf="eth6" outitf="eth0" srcmac="00:50:56:b6:6a:15" dstmac="00:1a:8c:5f:84:6e" srcip="83.137.XXX.35" dstip="172.18.1.2" proto="17" length="231" tos="0x00" prec="0x00" ttl="127" srcport="64523" dstport="389"
    2017:05:30-08:41:04 sg001 ulogd[25797]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="33" initf="eth6" outitf="eth0" srcmac="00:50:56:b6:6a:15" dstmac="00:1a:8c:5f:84:6e" srcip="83.137.XXX.35" dstip="172.18.1.2" proto="17" length="231" tos="0x00" prec="0x00" ttl="127" srcport="50164" dstport="389"

     

    Daraus erschliesst sich mir aber immer noch nicht warum die Pakete einmal am ETH0 und einmal am ETH6 landen.

    Danke und Güße
    Marco

  • 0 in reply to MarcoSoeder

    Hallo,

     

    wie vermutet kommen die Interface falsch an. Das ist dein Switch bzw. der Virtuelle Switch vor der Appliance (VMware). 

    Hier existiert eine Fehlkonfiguration. Dieses Paket von der SRC IP mit der DST IP darf nicht auf beiden Interfacen aufschlagen. 

    Im Dump würde man ähnliches sehen. 

     

    Die Appliance agiert hier korrekt und blockiert Pakete auf falschen Interfacen. 

     

    Würde mir daher mal die Switch bzw. Vmware Config des Virtuellen Switches angucken. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Yep, den VMswitch hatte ich auch schon in Verdacht. Da die SRCMAC gleich bleibt, vermute ich irgendeine HA Funktion in der VMWARE.

    Oder irgendeine Brücke. Das müsste sich dann aber auch auf andere VMs auswirken.

    Gruß

    Jas

  • 0 in reply to Jas Man

    Besten Dank erstmal bis hier hin allen die mitgewirkt haben. 

    Ich werde mir erstmal eine komplette Zeichnung des physikalischen Gesamtkonstrukts machen und die Wege analysieren, danach überprüfe ich die Konfiguration der Switche und vSwitche so wie die vMware HA Konfiguration.

    Sobald der Fehler behoben ist werde ich es hier nochmal als Lösung mitteilen.

    Grüße

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML