Keine ACCEPT Log Einträge (12.2.5.1)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Keine ACCEPT Log Einträge (12.2.5.1)

Beitrag von MopedHans »

Hi,

ich wollte heute zu Recherchezwecken die erlaubten Zugriffe für eine Zugriffsadresse protokollieren. Nachdem ich das Logging für den Eintrag umgestellt (auf LONG) und die Regeln aktualisiert habe (mehrmals) finde ich jedoch keine ACCEPT Einträge - weder im Live Log, noch auf dem Syslog Server.

Ich nutze das LONG Logging für die Regel eher selten, bin aber fast sicher, dass es früher so funktioniert hat. Die Einstellung ist ja auch irgendwie selbsterklärend.

Ich bin gerade etwas ratlos.

https://iili.io/H1oPQpt.png

Kurze Ergänzung: Ich habe zur Gegenprobe die Einstellung für eine andere Zugriffsadresse in einer anderen Regel mal auf LONG geändert und da hats sofort funktioniert. Praktisch gibts halt den Unterschied, dass auf der o.a. Adresse der Traffic enorm größer ist - k.a, ob das einen Einfluss haben kann.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Im Normalfall spielt hier die Reihenfolge der Regeln eine Rolle. und die Frage, ob die Regel ueberhaupt greift. Wenn sehr viele Logmeldungen generiert werden kann aber auch das Gesuchte foermlich untergehen, dann sollte man das Logaufkommen reduzieren.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Hallo,

da wäre ich jetzt nicht drauf gekommen, aber in der Tat greift schon eine vorherige Regel. Insgesamt haben wir 6 ähnliche Regeln. Identisch unter Allgemein, mit jeweils unterschiedlichen DNAT Netzwerkobjekten und nur die erste Regel in der Gruppe "regelt" das Logging. 

Danke für den Hinweis.

Dennoch habe ich es für plausibel gehalten, dass der Regelsatz als Ganzes einzigartig ist und die entsprechende Logging Einstellung nur greift, wenn auch der komplette Regelsatz erfüllt ist (Allgemein und NAT). Ich muss sagen, damit habe ich jetzt nicht gerechnet und ehrlich gesagt finde ich das auch nicht wirklich "so pralle".

Welche Ansätze beim Regelaufbau gäbe es denn, das Logging wirklich separat pro DNAT Netzwerkobjekt zu steuern?
Zuletzt geändert von MopedHans am Di 31.01.2023, 16:47, insgesamt 1-mal geändert.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

In dem Fall muessen Sie die Regeln genauer definieren/ so das sie greifen. An sich ist das weder gut oder schlecht zu werten. So arbeitet der Portfilter. Mit der Reihenfolge laesst sich meist schon viel erreichen. Wenn Sie das per Netzwerkobjekt machen wollen, muessen Sie die Regel auch sehr genau definieren. Und eben die Reihenfolge beachten. Wie bei einem umgekehrten Trichter sozusagen
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Hm, ok. Ich hab da zwar momentan keinen Ansatz, aber ich schau mal. Danke für die Hilfe.

Antworten