Netgate SG-1000 microFirewall

Author Topic: Ruleset verhält sich inkonsistent  (Read 171 times)

0 Members and 1 Guest are viewing this topic.

Offline krischeu

  • Jr. Member
  • **
  • Posts: 46
  • Karma: +1/-0
    • View Profile
Ruleset verhält sich inkonsistent
« on: December 04, 2017, 01:48:55 am »
Hi,
ich habe ein Problem mit aktivem FTP auf einem Server in der DMZ.
Ich konnte noch bis vor 5 Minuten auf einen Server per aktivem FTP zugreifen.
Dann habe ich eine Regel dupliziert und bei dem duplizierten die Regel geändert.

Die Regel habe ich Disabled. Jetzt geht aber auch die Verbindung zum ersten Server nicht mehr, obwohl der Zustand der gleiche sein sollte, wie vor der Änderung.

Jemand eine Idee?


Online hbauer

  • Jr. Member
  • **
  • Posts: 40
  • Karma: +3/-0
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #1 on: December 04, 2017, 02:19:40 am »

Offline krischeu

  • Jr. Member
  • **
  • Posts: 46
  • Karma: +1/-0
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #2 on: December 04, 2017, 02:31:45 am »
Hi,
Danke für den Tip. Hat nix gebracht.
Ich boote mal die Firewall heute mittag. Eventuell tut sich da was.
Grüße
Heinz

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3099
  • Karma: +200/-7
  • old man standing
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #3 on: December 04, 2017, 05:37:59 am »
Ich würde sagen States und Firewall Logs clearen, dann FTP testen und in die Logs schauen, was warum geblockt wird. Das hilft dann schonmal weiter. :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline krischeu

  • Jr. Member
  • **
  • Posts: 46
  • Karma: +1/-0
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #4 on: December 05, 2017, 01:00:20 am »
Hi,
States gelöscht.
Firewall ist neu gestartet. Wenn ich hier schaue:     Status / System / Logs / Firewall / Normal View
Als Filter meine ZielIP drin habe, kommt nur das hier:

Offline krischeu

  • Jr. Member
  • **
  • Posts: 46
  • Karma: +1/-0
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #5 on: December 05, 2017, 01:47:54 am »
Hi,
ich hab den FTP Client Filezilla mal von Standard auf aktiv gesetzt. Jetzt geht es. Wenn ich direkt im passenden Subnetz bin, geht es auch, wenn es auf Standard steht.

Geblockt sehe ich nix. Siehe oben.

Grüße

Heinz

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3099
  • Karma: +200/-7
  • old man standing
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #6 on: December 06, 2017, 06:09:35 am »
> ich hab den FTP Client Filezilla mal von Standard auf aktiv gesetzt. Jetzt geht es. Wenn ich direkt im passenden Subnetz bin, geht es auch, wenn es auf Standard steht.

Dass du innerhalb vom Subnetz natürlich egal welchen Modus nutzen kannst ist klar, hier wird dann ja von der Firewall nichts geblockt da der Traffic da nie ankommt ;) Ansonsten waren die Einstellungen in deinen Regel ja nur für aktives FTP konfiguriert, ich vermute Filezilla hat default versucht das aber passiv zu machen. Du hast noch dazu im falschen Log gesucht, dein Problem war nicht das ausgehende Signal von INTERN, sondern das zurück kommende von der DMZ. Denn der Connect klappt ja (also Kommunikationsport 12365), nur die Datenverbindung nicht -> bei aktivem FTP dann VON 12365 DMZ nach INTERN, dann musst du auch als Source nach deiner IP filtern ;)

Aber wie gesagt, mit aktivem FTP sollte da jetzt alles funktionieren, das ist - solang du DMZ und INTERN selbst kontrollierst - hier auch von den Regeln einfacher als Passiv mit custom Port Ranges zu konfigurieren.

Gruß Jens
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline krischeu

  • Jr. Member
  • **
  • Posts: 46
  • Karma: +1/-0
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #7 on: December 06, 2017, 07:11:15 am »
Wie muß ich denn suchen, daß ich was geblocktes sehe?

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3099
  • Karma: +200/-7
  • old man standing
    • View Profile
Re: Ruleset verhält sich inkonsistent
« Reply #8 on: December 07, 2017, 08:38:17 am »
Wie gesagt, nach der IP VON der es kam oder ZU der es ging. Ich weiß ja gerade nicht was du suchen möchtest ;)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.