Merkwürdige Pakete durch Firewall geblockt

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Merkwürdige Pakete durch Firewall geblockt

Beitragvon jochenf » So 09.08.2009 - 19:45

Hallo,
ich habe mir eine Firewall Regel gebaut die alle ankommenden Pakete blockt die nicht von bestimmten mir bekannten IP-Adressen sind.
Nun finde u.a. ich folgendes im Log:
Code: Alles auswählen
[FILTER][Block][wan->lan, 282:40:31.160]
        [@S:R=12:1, 208.43.202.7:80->192.168.1.13:51977][TCP]
        [HLen=20, TLen=52, Flag=AF, Seq=3753577697, Ack=1852048035, Win=14]

Wenn da jemand Pakete an 192.168.1.13:51977 schickt (mein MacBook), dann kann das ja nur eine Antwort auf vorausgehende Pakete von mir sein, denn woher soll der Router sonst wissen daß er es an 192.168.1.13 leiten soll?
Wenn es aber eine Antwort ist, warum wird sie dann von der Firewall geblockt? Antworten sollten doch ungehindert passieren können, schliesslich ist die Firewall doch "statefull".
Was bedeutet das "Flag=AF"?
jochenf
Ambitionierter User
 
Beiträge: 38
Registriert: Fr 26.06.2009 - 10:47

Beitragvon nobody » So 09.08.2009 - 21:02

ist denn: 208.43.202.7 eine bekannte, oder eine unbekannte adresse ?

Ich habe den Filter selten verwendet, eingehende verbindungen zu blockieren - denn, wie ja schon in einem früheren Post von Dir angemerkt, eigentlich braucht man das ja nicht.

ich würde aber mal annehmen, dass der Filter prioriät über NAT hat - sonst würde der ja keinen Sinn machen.
Soll der Filter denn traffic zu allen hosts in Deinem netz verbieten, oder nur zu bestimmten ?
Vielleicht ist ja ein Fehler in der Regel ?

AF == keine ahnung. jedenfalls keins der mir bekannten TCP flags.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon jochenf » Mo 10.08.2009 - 06:34

208.43.202.7 ist keine der bekannten IP-Adressen, also müsste sie durch den Filter geblockt werden. Da es sich ja aber offensichtlich um ein Antwort-Paket handelt, sollte es durchgelassen werden.
Ich verbiete alle ankommenden Pakete von unbekannten IP-Adressen, das macht die Regel am einfachsten.

Ich vermute das Flag AF heisst Acknowledgement Flag. Dann wäre das ein Acknowledge Paket. Aber wieso wird es blockiert?
Generell muss es schon so sein dass Antwortpakete durchgelassen werden, sonst könnte ich ja überhaupt nicht mehr surfen. An dem Paket muss also irgendwas besonders sein. Ob der Server vielleicht zwei ACK Packete gesendet hat und dies das zweite ist?

Auf die Idee die Firewall einzusetzen bin ich gekommen als ich mir mal näher angesehen habe warum mein NAS dauernd grundlos aus dem Ruhezustand aufwacht. Erst vermutete ich Suchmaschinen-Robots, dann bin ich aber dahinter gekommen dass es wohl Hacker sein müssen, da die IP-Adressen meistens aus China waren, und nur eine Verbindung zum Webserver aufbauten ohne jedoch Seiten abzurufen. Ich vermute die testen da bekannte Schwachstellen von Webservern.

Da ich meinen Webserver nur für eigene Zwecke nutze, und den FTP-Server nur im Bekanntenkreis, kam ich auf die Idee alles zu blocken was nicht von deutschen Providern kommt. Ich erlaube einfach die IP-Ranges der mir bekannten Provider und blocke den Rest. Funktioniert bisher sehr gut, mein NAS wacht jetzt auch nicht mehr dauernd auf.
jochenf
Ambitionierter User
 
Beiträge: 38
Registriert: Fr 26.06.2009 - 10:47

Beitragvon nobody » Mo 10.08.2009 - 11:11

Da aber der Firewall prioriät über das NAT hat ( mal vorausgesetzt, diese annahme stimm), kann man das Problem wohl nicht lösen.
Bzw. eigentlich, sollte es ja dann Dir unmöglich sein, zu Seiten zu surfen, die im unbekannten bereich liegen - ist das so ?
Oder gilt die regel nur für die IP des NAS ?
Vielleicht hat das NAS ja auch nach hause ( Dallas, Texas, sagt das whois über diese IP) telefoniert ?

Ein workaround wäre übrigens: mappe doch per Portumleitung den port 80 des nas auf einen externen port wie 12345. Da kommt sicher kein Bot vorbei, denn bevor der 10.000 ports scannt, lässt er es lieber.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon jochenf » Mo 10.08.2009 - 15:54

nobody hat geschrieben:Bzw. eigentlich, sollte es ja dann Dir unmöglich sein, zu Seiten zu surfen, die im unbekannten bereich liegen - ist das so ?

Nein, surfen geht ganz normal zu allen Seiten.

nobody hat geschrieben:Oder gilt die regel nur für die IP des NAS ?

Nein, die Regel gilt pauschal für alle Verbindungen WAN->LAN.

nobody hat geschrieben:Vielleicht hat das NAS ja auch nach hause ( Dallas, Texas, sagt das whois über diese IP) telefoniert ?

Die Ziel-IP war nicht die vom NAS sondern von meinem Macbook. Ich vermute dass eine Apple Software nach Hause telefoniert hat. Im Kleingedruckten des Serverbetreibers steht nämlich auch was von iPhone Applikationen (wobei ich jedoch kein iPhone habe). Irgendeine Verbindung mit Apple hat der Serverbetreiber.

nobody hat geschrieben:Ein workaround wäre übrigens: mappe doch per Portumleitung den port 80 des nas auf einen externen port wie 12345.

Auch keine schlechte Idee. Würde aber nur beim Webserver helfen. Der FTP-Server wäre weiterhin den Hackern aus China ausgesetzt.
jochenf
Ambitionierter User
 
Beiträge: 38
Registriert: Fr 26.06.2009 - 10:47

Beitragvon nobody » Mo 10.08.2009 - 16:01

dann nimm doch sftp ( wenn das gerät das kann)

ausserdem: ich habe ftp auch schon über andere ports z.B.2121 gemacht. ging.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon jochenf » Mo 10.08.2009 - 16:04

Wozu soviel Aufwand wenn man so eine chice Firewall hat. :wink:
Ich will ja nur verstehen warum manche Pakete geblockt werden die meiner Meinung nach nicht hätten geblockt werden dürfen. Das große Problem habe ich ja nicht damit, prinzipiell tut es ja wie es soll.
jochenf
Ambitionierter User
 
Beiträge: 38
Registriert: Fr 26.06.2009 - 10:47

Beitragvon nobody » Mo 10.08.2009 - 20:58

In der tat, NAT geht an den (eingehenden) Firewallregeln vorbei.
ich habe gerade mal probiert, z.B. von spiegel.de eingehende pakete zu blockieren. Kann aber weiter prima dorthin surfen.

Ich weiss nicht, ob ich das gut oder schlecht finde.
Natürlich habe ich es nie benötigt, und, zur not kann man ja ausgehende pakete an eine bestimmte WAN adresse blockieren - somit kommt auch nichts zurück.
Auf der anderen Seite wäre es auch nicht schlecht, wenn man von vornherein bestimmte IP Adressen einfach sperren könnte.

Trotzdem, es ist gut wenn man weiss wie es geht.

Der von Dir dokumentierte Fall sieht so gesehen dann eher nach einem Fehler des Firewalls aus.

Ich glaube nicht, dass es hier ein offizielles Papier vom Hersteller gibt.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon jochenf » Mo 10.08.2009 - 21:13

nobody hat geschrieben:ich habe gerade mal probiert, z.B. von spiegel.de eingehende pakete zu blockieren. Kann aber weiter prima dorthin surfen.

Ich weiss nicht, ob ich das gut oder schlecht finde.

Das ist ja gerade der Sinn einer SPI (Stateful Packet Inspection) Firewall. Die Firewall kennt den Zustand jeder Verbindung. Wenn eine Verbindung ausgehend erlaubt war, so dürfen auch die Antworten in der anderen Richtung passieren. Die Regeln gelten jeweils nur für den Aufbau einer neuen Verbindung. Oder für Pakete die nicht dem aktuellen Zustand entsprechen.
Du solltest das gut finden. :wink:
jochenf
Ambitionierter User
 
Beiträge: 38
Registriert: Fr 26.06.2009 - 10:47

Beitragvon nobody » Mo 10.08.2009 - 22:17

Das mit dem SPI das kenne ich schon, nur so habe ich es mir nicht gedacht.

Aber ok, ich finds gut - auf jeden fall wieder was gelernt für heute !
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron