Regel zum Blocken von netbios greift nicht

[SchlaWiener]

Hallo,

ich habe im Livelog immer mal wieder Netbios Pakete, die geblockt werden. Was auch in Ordnung ist. Blos wenn man gerade auf der Fehlersuche ist, stören die nur. Also habe ich eine Regel (Von "Internes Netz" Nach "Brodcast" Dienst: "Netbios" DROP, LOG=None") erstellt, damit diese nicht durch den Portfilter fallen und von der letzten Regel protokolliert werden.


Ein typisches Paket, dass von der letzten Regel geblockt wird sieht so aus:

Jul 27 15:23:39 192.168.143.20 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:c0:ee:2a:30:c9:08:00 SRC=192.168.143.64 DST=192.168.143.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=58

In meiner Regel habe ich
SRC: 192.168.143.0/24 (Zone: Internal)
DST: 192.168.143.255/244 (Zone: Internal)
DIENSTGRUPPE: = netbios-tcp, netbios-udp (wie in der Defaultkonfiguration)

Allerdings scheint die Regel nicht zu greifen.
So wie ich das sehe liegt das daran, das "OUT" leer ist, ich aber bei meinem Netzwerkobjekt "broadcast" zwingend eine Zone angeben muss. Und da es keine Zone "any" oder "undefined" gibt, habe ich über den Security Manager keine Möglichkeit eine Regel zu definieren, auf die dieses Paket zutrifft.

Gibt es da eine Möglichkeit?


Hier noch ein Screenshot aus dem Logviewer:

[KuehleisIT]

Also ich mach mir immer pro Netz zwei Broadcast-IPs: je einen Host für LAN (z.B. 192.168.1.255) und einen für ANY (255.255.255.255) mit Zone FW-x. Das für alle weiteren Zonen/DMZs.
Die pack ich eine Gruppe Broadcast-IPs. Dann eine Regel von den "eigene LANs" auf "Broadcast-IPs" mit Diensten "any" auf "drop" und eben kein Logging dafür.
Zur Kontrolle kann man auch erstmal auf Reject und Short-Logging machen - dann sieht man die Pakete schon in gelb ...

Damit filtere ich eben alles aus, was auf die Broadcasts geht - oder ist das zuviel des guten?

[Erik]

Hallo,
wie KuehleisIT bereits bemerkt hat, muss das Broadcast-Objekt in der Zone "firewall-internal" sein - dann fischt die Regel auch fein die Pakete raus

[SchlaWiener]

Funktioniert super. Dankeschön!

[anselm]

Hallo,

hat bei mir noch nie funktioniert.
Wäre für eine Lösung dankbar, da ich den Verdacht habe, daß dadurch
manchmal auftretende unerklärliche Effekte meiner sonstigen Regeln verursacht werden.

Ich glaube, es liegt bei einem Spezialfall bei mir:
Meine internen Netze sind meist 2 gekoppelte Class-C Netze mit
Netmask /23

Also z.B.:

192.168.72.0/23

Broadcasts nach allen Regeln der Kunst und der Regel von KuehleisIT 192.168.73.255 und natürlich 255.255.255.255

Alles als Client in Zone FW-internal definiert.

Das (Netmask /23) hat vielleicht noch nie jemand in der Linux-Gemeinde getestet?
(Oder ich steh wieder mal vollkommen neben mir und seh die Axt vor lauter Bäumen nicht)

[Erik]

Guten Tag,
es ist unwahrscheinlich, dass durch Broadcasts "unerklärliche Effekte" auftreten, da Broadcasts prinzipiell nicht geroutet werden
Das /23er Netz ist kein Problem, und Ihr Netzwerkobjekt sieht auch gut aus. Stellen Sie nur bitte sicher, dass die Regel, die die Broadcasts verwerfen soll, auch wirklich auf "DROP" oder "REJECT" steht

[anselm]

Hallo!

Die Regeln stehen wirklich auf DROP oder testweise auf REJECT.
Bei /24-er Netzen funktioniert das auch einwandfrei.

Mit unerklärlichen Effekten habe ich auch nicht Broadcast-Regeln gemeint,
sondern "normale" Regeln wie z.B icmp, bei denen ich mich gewundert habe,
warum die Pakete gedroppt werden, obwohl doch eine Regel definiert war.

Bezieht sich der Satz "Das /23er Netz ist kein Problem" auf die Theorie oder
auf einem praktischen Test?

Das Problem zieht sich bei mir seit Anfang an durch alle SPs, die ich aufgesetzt
und im Laufe der Jahre "upgedated" habe. 3 oder 4 verschiedene eigene Hardware-
Platformen mit der UTM Software und auch eine neue Appliance RC100.