Syslog Absender plötzlich public IPv4?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Syslog Absender plötzlich public IPv4?

Beitrag von MopedHans »

Hiho!

Seit Sonntagmorgen ~0:31Uhr ist der Absender von Syslog Nachrichten nicht mehr die interne IP4v, sondern die public IPv4 vom externen Interface. 

Einen Reboot der UTM hab ich mal noch nicht gemacht.

Code: Alles auswählen

2022-06-12 00:31:00 Daemon.Notice 192.168.1.1 1 2022-06-12T00:31:00+02:00 - ulogd 6830 - - DROP: ...
2022-06-12 00:31:00 Daemon.Notice 192.168.1.1 1 2022-06-12T00:31:00+02:00 - ulogd 6830 - - DROP: ...
2022-06-12 00:31:00 Daemon.Notice 192.168.1.1 1 2022-06-12T00:31:00+02:00 - ulogd 6830 - - DROP: ...
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - pipe write error (from main): No such file or directory
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - ntp engine exiting
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - Terminating
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - adjtimex returns frequency of 8.736420ppm
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - listening on 127.0.0.1 
2022-06-12 00:31:11 Daemon.Info   12.152.x.x  1 2022-06-12T00:31:11+02:00 - ntpd - - - listening on 12.152.x.x 

Soweit ich alte Syslogdateien vorliegen habe, ist das früher nicht passiert.

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

So, eben habe ich das Update von 12.2.2.5 -> 12.2.2.8 durchgeführt und damit den ersten Neustart seit Meldung des Problems durchgeführt. Die Syslogmeldungen erscheinen nun wieder von der internen IPv4.

Leider keine zufriedenstellende Lösung. Ich behalte es im Auge.

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Und wieder ist es passiert.

2022-09-20 18:44:58 ist der Absender der Syslog Nachrichten noch die interne IPv4.

Die nächsten Einträge kommen dann vom der default public IPv4 (IPs sind obfuskoiert):

2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - pipe write error (from main): No such file or directory
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - ntp engine exiting
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - Terminating
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - adjtimex returns frequency of 9.066208ppm
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 127.0.0.1
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 62.152.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 10.202.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 10.202.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on 192.168.x.x
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on ::1
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on fe80::250:56xx%eth0
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on fe80::250:56yy%eth1
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on fe80::250:56xx%eth2
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - listening on fe80::5ddb:xxc%tun1
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - ntp engine ready
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - reply from 10.202.x.x : offset 0.000303 delay 0.000401, next query 9s
2022-09-20 18:45:08 Daemon.Info 62.152.x.x 1 2022-09-20T18:45:08+02:00 - ntpd - - - set local clock to Tue Sep 20 18:45:08 CEST 2022 (offset 0.000303s)

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

welche Regeln haben Sie? Haben Sie manuelle Routen für das Ziel oder verwenden Sie die gepushten Routen. Mit den gepushten Routen kann es unter Umständen zu Problemen kommen.

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Hi,

für Syslog gibt es keine Regeln auf der UTM. Der Syslog-Server ist im selben Netz wie die interne Schnittstelle der UTM. Auf der UTM ist lediglich der Syslogserver (IP/UDP/kein Hostname übermittelt) in den Einstellungen hinterlegt.

EDIT: Mir ist gerade aufgefallen, dass meine Formulierung ggf. falsch interpretiert werden könnte (eigentlich schlampig formuliert war...). Der Absender auf Netzwerkebene ist sicherlich weiterhin die interne Schnittstelle der UTM. Der Hostname in der Syslog Nachricht wechselt von der interen IP auf das default GW.

Antworten