Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG330 mit 9.307-6 blockt immer wieder bestimmte IP.

Hallo,

als noch relativ neuer SG-Nutzer hier nun also mein erstes Posting. [:)]

Zu meinem Problem. Ich habe eine SG230 mit obiger Version. 
Ein "Kunde" mit einer Festen IP, der auch eine RED-Anbindung zu meiner SG230 hat wird immer wird geblockt. Das heißt, das System akzeptiert dann nicht mal mehr einen PING von der "public-IP" des Kunden zu einer der Public-IPs auf meiner SG230. 

Interessant dabei ist, das der RED-Tunnel weiterhin Online bleibt und innerhalb dieses Tunnel auch der Traffic ganz normal fließt. Aber eine Webseite die auf meiner SG230 per WAF veröffentlicht wird, kann dann nicht aufgerufen werden. Das ganze passiert ca. 2 bis 4 mal am Tag für jeweils ca. 1 Stunde. Mal mehr, mal weniger. 

Wo setze ich an? Weder im IPS noch in der Advanced Threat Protection gibt es auch nur den hauch eines Eintrages von oder zu der besagten IP.

Gibt es eine stelle wo ich "aktuelle" geblockte IPs sehen kann? Macht die SG230 sowas überhaupt?

Beste Grüße


This thread was automatically locked due to age.
Parents Reply Children
  • Nachdem ich jetzt jede Schraube bezüglich logging ein mal auf "links" gedreht habe. Kann ich Firewalllog folgenden Eintrag sehen "wenn" die Blockade auftritt.

    /var/log/packetfilter.log:2015:03:01-20:02:13 RZWUTM-2 ulogd[7832]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60023" initf="eth1" srcmac="44:2b:03:42:a3[:D]1" dstmac="00:1a:8c:f0:50:81" srcip="x.x.x.x" dstip="x.x.x.x" proto="1" length="60" tos="0x00" prec="0x00" ttl="120" type="8" code="0"

    Da steht nun also das er von dieser speziellen IP den traffic "dropped" mit bezug auf fwrule "60023". Aber welche Einstellung das jetzt auslöst sehe ich damit ja immer noch nicht, so klar das ich sagen könne. Es ist PING-Flood-Protection oder dergleichen. Zumal auch einfach mal gar kein Traffic mehr von der Quell-IP angenommen wird.

    Kühn vermute ich das es sich hierbei um die "authentication-services" Password-Guessing Regel handelt. Das würde zumindest passen, da der Kunde wohl gerne mal mit falschen SMTP-Anmeldedaten gegen den UTM-SMTP-Dienst klopft...


    Ich würde hier auf IPS schielen. Sollte sich im IPS Log finden. Vielleicht config / config-debug? Schon mal nach der IP Adresse über alle Logs gesucht?