Erläuterung der Firewall-Meldungen
Grundsätzlich wird im
DEFENDO jedes Paket protokolliert das durch die Firewall abgewiesen wird. Von dieser Regel gibt es lediglich folgende Ausnahmen:
- Es werden sehr viele Pakete aus dem selben Grund abgewiesen. Einer Überlastung des Systems wird entgegengewirkt indem pro
Sekunde nur manche Pakete davon protokolliert werden
- Die Intrusion-Prevention blockiert das Paket
- Die dynamische Firewall blockiert das Paket
- Bei deaktiviertem IP-Routing werden weiterzuleitende Pakete kommentarlos verworfen
Um das Firewall-Log anzuzeigen wechseln Sie bitte in das Menü "Monitoring > Log-Dateien" oder öffnen Sie das "Live-Log". Wählen Sie als "Log-Datei" den Eintrag "Firewall".
Die Zeilen des Logs haben folgendes Format:
Datum Uhrzeit Name kernel: Stufe Aktion [Grund] Schnittstellen Paket-Signatur
Das wichtigste Feld ist dabei der "Grund". Die häufigsten Werte sind:
- restricted
- Verbindung in aktueller Konfiguration nicht zulässig. Tragen Sie eine Firewall-Regel ein um die Verbindung zu erlauben.
- SRC=spoofed
- Es wurde ein Paket mit einer Absender-IP empfangen, die nicht zur Schnittstelle passt. Der Absender verwendet entweder tatsächlich
eine falsche IP oder im DEFENDO muss eine passende Route für das bislang unbekannte Netz in der zugehörigen Schnittstelle eingetragen werden. Den Namen der
Schnittstelle finden Sie unter "IN".
- STATE=new !SYN
- Ein TCP Paket wurde empfangen, das keiner bestehenden Verbindung zugeordnet werden konnte. In der Regel ist dies unproblematisch.
Sind Eingangs- und Ausgangsschnittstelle angegeben und identisch ("IN" und "OUT"), kann asymetrische Routing die Ursache sein.
Für LAN-Schnittstellen kann dies unter "Module > Firewall > Einstellungen" freigegeben werden.
Weitere Information zur Bedeutung der einzelnen Felder finden Sie im Handbuch und in der Online-Hilfe des DEFENDO.