SP sendet von Port 25

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
Bahlsenkeks
Beiträge: 9
Registriert: Fr 09.05.2014, 09:36

SP sendet von Port 25

Beitrag von Bahlsenkeks »

Hallo ich bekomme seit Tagen
Meldungen das meine Secuepoint von Port 25 zu verschiedenen IP's und Ports
Pakete sendet
leider bekomme ich das Problem nicht mit meinen FW Regeln in den Griff

meine externe Schnittstelle ist ein PPOE
Zone = external / firewall-External

ich habe schon verschiedenste Kombinationen probiert aber nichts greift

mein Gedanke ist
"versenden von Port 25 egal wo hin ins Internet drop"

allerdings finde ich nur external-Interface aber nicht external als Zone in der Liste

hat ggf jemand einen Tip

pl85
Beiträge: 83
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

es gibt das Netzwerkobjekt "internet" mit Adresse 0.0.0.0/0 in der Zone external, das nimmst du dafür

Gruß

Benutzeravatar
Bahlsenkeks
Beiträge: 9
Registriert: Fr 09.05.2014, 09:36

Beitrag von Bahlsenkeks »

Hallo
Das habe ich getestet
( mit einer eigenen Dienstgruppe Quellport 25 TCP zielport von 1025 bis 65534 )
Regel von Internal-Network --> Internet --> eigene_Dinstgruppe >> Drop

nur leider greift diese nicht

Gruß

Benutzeravatar
Bahlsenkeks
Beiträge: 9
Registriert: Fr 09.05.2014, 09:36

Beitrag von Bahlsenkeks »

NACHTRAG
Das sind die Meldungen die ich bekomme

llgemein
Firewallname xxxxxxxxxxxxxxxxxxxx
Status ALARM
Datum 18.09.2024 - 11:28:19
Quelle spsysprocd
Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogDst IN= OUT=wan0 MAC= SRC=xxx.xxx.xxx.xxx DST=4.4.89.74 LEN=145 TOS=00 PREC=0x00 TTL=64 ID=56837 DF PROTO=TCP SPT=25 DPT=58014 SEQ=3122828482 ACK=13210505 WINDOW=503 ACK PSH URGP=0 UID=194 GID=190 MARK=0
Gruppe Threat Intelligence Filter - OUTPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log OUTPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=()\s)(?:.*OUT=(\S+)\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014

Benutzeravatar
Mario
Securepoint
Beiträge: 982
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Wenn das Mailrelay der UTM verwendet wird wäre es gut, ein Supporticket aufzumachen. Es riecht nach einem Konfigurationsproblem.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten