Hallo ich bekomme seit Tagen
Meldungen das meine Secuepoint von Port 25 zu verschiedenen IP's und Ports
Pakete sendet
leider bekomme ich das Problem nicht mit meinen FW Regeln in den Griff
meine externe Schnittstelle ist ein PPOE
Zone = external / firewall-External
ich habe schon verschiedenste Kombinationen probiert aber nichts greift
mein Gedanke ist
"versenden von Port 25 egal wo hin ins Internet drop"
allerdings finde ich nur external-Interface aber nicht external als Zone in der Liste
hat ggf jemand einen Tip
SP sendet von Port 25
Moderator: Securepoint
- Bahlsenkeks
- Beiträge: 9
- Registriert: Fr 09.05.2014, 09:36
Hallo
Das habe ich getestet
( mit einer eigenen Dienstgruppe Quellport 25 TCP zielport von 1025 bis 65534 )
Regel von Internal-Network --> Internet --> eigene_Dinstgruppe >> Drop
nur leider greift diese nicht
Gruß
Das habe ich getestet
( mit einer eigenen Dienstgruppe Quellport 25 TCP zielport von 1025 bis 65534 )
Regel von Internal-Network --> Internet --> eigene_Dinstgruppe >> Drop
nur leider greift diese nicht
Gruß
- Bahlsenkeks
- Beiträge: 9
- Registriert: Fr 09.05.2014, 09:36
NACHTRAG
Das sind die Meldungen die ich bekomme
llgemein
Firewallname xxxxxxxxxxxxxxxxxxxx
Status ALARM
Datum 18.09.2024 - 11:28:19
Quelle spsysprocd
Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogDst IN= OUT=wan0 MAC= SRC=xxx.xxx.xxx.xxx DST=4.4.89.74 LEN=145 TOS=00 PREC=0x00 TTL=64 ID=56837 DF PROTO=TCP SPT=25 DPT=58014 SEQ=3122828482 ACK=13210505 WINDOW=503 ACK PSH URGP=0 UID=194 GID=190 MARK=0
Gruppe Threat Intelligence Filter - OUTPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log OUTPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=()\s)(?:.*OUT=(\S+)\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Das sind die Meldungen die ich bekomme
llgemein
Firewallname xxxxxxxxxxxxxxxxxxxx
Status ALARM
Datum 18.09.2024 - 11:28:19
Quelle spsysprocd
Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogDst IN= OUT=wan0 MAC= SRC=xxx.xxx.xxx.xxx DST=4.4.89.74 LEN=145 TOS=00 PREC=0x00 TTL=64 ID=56837 DF PROTO=TCP SPT=25 DPT=58014 SEQ=3122828482 ACK=13210505 WINDOW=503 ACK PSH URGP=0 UID=194 GID=190 MARK=0
Gruppe Threat Intelligence Filter - OUTPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log OUTPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=()\s)(?:.*OUT=(\S+)\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Wenn das Mailrelay der UTM verwendet wird wäre es gut, ein Supporticket aufzumachen. Es riecht nach einem Konfigurationsproblem.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de