pfSense Gold Subscription

Author Topic: Firewall logs!  (Read 7987 times)

0 Members and 1 Guest are viewing this topic.

Offline Nostradamus

  • Newbie
  • *
  • Posts: 18
  • Karma: +0/-0
    • View Profile
Firewall logs!
« on: August 30, 2007, 02:01:20 am »
Hei.

Først av alt, så takker jeg for et meget fin firewall :) Jeg har testet mange slike og kom vel fram til at pfSense sin firewall var tingen, selv om det kunne jo ha hvert fint med litt ekstra stasj fra andre firewall intrigert i denne  ;D ;D

Men jo... det jeg lurte litt på hva om, lagrer pfSense sin firewall log og etter en restart er den der forsatt eller sletter den loggen etter du evt måtte restarte firewallen?

Trodde kanskje dette var et must å ha i pfSense, og evt sette den slik at den sletter alle blokkerte IP'ene automatisk etter 24 timer, som er å se normalt på andre firewall?

Hadde hvert et kjempeønske om det var mulighet for dette :)
Og ja, evt mulighet for å blokke IP'er selv om det skulle være et ønske.

Men det viktigste er vel det med at jeg håper pfSense sin firewall log forsatt beholder de IP'ene den har blokket selv etter en restart. :)

Så var det til hoved spørsmålet her.. hehe
Slik jeg ser i loggen min, så jobber jo pfSense på hel tid, veldig bra, men den viser hele tiden den samme IP og port som er blitt blokket lenger nede på siden viser han den om igjen og om igjen. Trodde at vis en IP var blokket, så er den blokket og den vil ikke vise den igjen før evt, du sletter blokkingen.
Er det en mulighet for å endre den slikt??

eks.

Code: [Select]

Aug 30 07:15:59 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:15:28 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:14:44 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:12:17 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:12:08 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:04:07 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP
Aug 30 07:03:41 WAN AAA.157.234.248:55555 BBB.BBB.BBB.BBB:55555 UDP


Ta en titt på klokken, som du ser, samme IP og port all the time... er ikke dette litt unødvendig? Hadde jo holdt med å blokke IP'en og "That's it" :)

Og jo, er det en eller annen funksjon i pfSense der du evt ikke logger multicast.?
Oppdager at jeg også får en god del IGMP blokk fra min ISP, er det mulighet for å ikke loggføre dette eller evt lage en rule for at den skal få lov til å ta imot IGMP fra min ISP?

Takker så mye for denne fine firewallen, som sakt har jeg testet mange forskjellige. (SmoothWall Express, SmoothWall Corportate Server 3.0, IPCop, ClarkConnect)
Vinneren av disse 4 er ClarkConnect, grunnen er enkel. Den har bandwidth management noe som jeg kunne ønske pfSense hadde pga jeg ønsker å begrense global trafikk for min nabo som låner nett hos meg og mulighet for å slette blokkerte IP'er manuelt og at den blokker dem i 24 timer.

Men som sakt, pfSense er desidert vinneren her  ;D

Takk igjen :)
1.2-RELEASE
built on Fri Mar 7 18:49:15 EST 2008
Intel Celeron 1100 Mhz
512MB PC-100
Segate 20GB HD
eth0: Intel 82801BA/BAM/CA/CAM 10/100 (WAN)
eth1: 3Com 3c905C-TX/TX-M 10/100 (LAN)

Offline mastrboy

  • Jr. Member
  • **
  • Posts: 66
  • Karma: +0/-0
    • View Profile
Re: Firewall logs!
« Reply #1 on: August 31, 2007, 03:16:25 pm »
pfsense har båndbredde management som du kaller det, kalt traffic shaping og det fungerer greit mye bedre enn det gjør i linux..

Gå på Firewall - > Traffic Shaper, da kommer det en wizard som hjelper deg med å sette det opp ettersom kø systemet kan være litt komplisert for en førstegangs bruker

Offline lsf

  • Wireless Expert
  • Hero Member
  • *****
  • Posts: 3263
  • Karma: +5/-0
    • View Profile
Re: Firewall logs!
« Reply #2 on: September 01, 2007, 02:42:04 pm »
Er ikke helt sikker på hva du mener her, det du har i loggen som blokkert trafikk er vel bare det at noen prøver å nå port 55555 og du har en regel som blokkerer denne tilgangen. Du kan jo velge å fjerne logging feks. (hvis du ikke ønsker å se hva som er blokkert) du kan også sette opp timebased rules. Du har også muligheten med snort som kan gjøre mer av det du spør om.
PS, jeg er veldig mye på reise for tiden og svarer ikke så kjappt her på forumet, men jeg leser det meste og svarer når jeg har tid.
Har du dårlig tid så er det lurt å spørre i den engelske delen, eller på IRC.
-lsf

Offline Nostradamus

  • Newbie
  • *
  • Posts: 18
  • Karma: +0/-0
    • View Profile
Re: Firewall logs!
« Reply #3 on: September 02, 2007, 01:17:59 pm »
Hei.

@mastrboy

Takk for infoen. Men har jeg da mulighet til å sette f.eks naboens PC til en vis max båndbredde bruk. Jeg ønsker kun å gi 10mbit/5mbit linje til naboene mine, slik som jeg kjører nå, har jeg dem på en egen 10mbit switch. Men kunne ønske at det var en mulighet til å kun sette begrenset hastighet til par lokale IP'er.

@lsf

Takker :) Har testet SNORT, men det funket ikke som det skulle her... vet ikke hvorfor. Men den logget ikke noe eller blokket noen, selv om jeg hadde satt på alle kategorier.
Vis jeg da feks ønsker å blokke en IP, hvor gjør jeg det da henn?
I Firewall: NAT: Port Forward eller i Firewall: Rules?
Jeg er veldig fornøyd med pfSense, men det er ikke alltid like lett å forstå seg på alt :)
Jeg spiller mye online, spesielt MS Flight Simulator 2004, og det var et mareritt å sette de portene som skulle åpnes. Spillet i seg selv bruker kun UDP og jeg satte enkelt det opp i  Port Forward slik som jeg alltid hadde gjort med andre firewall, menher gikk det dårlig gitt. :(
Til jeg da fant ut at jeg måtte endre noe i Firewall: NAT: Outbound og velge Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)). Den opprettet så en regel automatisk:

WAN        192.168.100.0/24      *      *      *      *      *     NO   Auto created rule for LAN

Etter det så slettet jeg alle regler jeg hadde laget i Firewall: NAT: Port Forward og i Firewall: Rules for det spillet. Nå så hadde jeg ingen regler i det hele tatt. Kun den i Firewall: NAT: Outbound. Og nå virket det spillet som en drøm på nett. Og det er jo litt rart siden jeg ikke nå har laget noen regler for de portene som skal åpnes, legg merke til at jeg har aktiver UPnP i pfSense også. Ser da i status under UPnP loggen at spillet er oppført der når jeg er på nett å spiller, og at den har de portene åpne.

Så det jeg lurer da på.... det jeg gjorde i Firewall: NAT: Outbound. Jeg la så til en egen regel der:

WAN        192.168.100.102/32      32432      *      *      *      *     YES   FS2004

IP: 192.168.100.102 er min spill PC, og den UDP porten 23432 er til FS2004/FsNavigator, var i grunn FsNavigator jeg ikke fikk på nett, så jeg la så til den reglen, og vips så var jeg på nett med den også.
Så er dette en sikker vei å gjøre dette på, når det evt skulle dukke opp slike problemer med andre online spill, og da peke til min IP(spill PC).. er dette sikkert?

Takk :)
1.2-RELEASE
built on Fri Mar 7 18:49:15 EST 2008
Intel Celeron 1100 Mhz
512MB PC-100
Segate 20GB HD
eth0: Intel 82801BA/BAM/CA/CAM 10/100 (WAN)
eth1: 3Com 3c905C-TX/TX-M 10/100 (LAN)