Firewall logs UDM

[joostman]

Ik heb momenteel op mijn firewall een aantal IP-ranges geblokt en een aantal landen.
Ik ervaar nu dat een spel op mijn iPad niet meer werkt. Ik weet dat het probleem in de firewall zit, want als ik met een ander netwerk verbind heb ik dit probleem niet.

Nu is de werking natuurlijk zo dat de iPad (het spel) een aanvraag naar buiten doet, wat door de firewall geblokkeerd wordt. Maar waar kan ik deze blokkering vinden, zodat ik een uitzondering in de firewall kan maken voor een IP adres. Ik neem aan dat ergens een log te vinden moet zijn dat IP adres X gezocht wordt om verbinding mee te maken, maar dat mijn firewall antwoordt dat dit niet mag door de huidige regels.

 

[Eddie the Eagle]

Ik weet niet of je Pi-Hole gebruikt als adblocker maar daar kun je dat prachtig in opzoeken. Hieronder een voorbeeld waarbij mijn Iphone (client) de warmtepomp van het zwembad bedient, maar dan via een schimmige Chinese server. China weet dus precies hoe warm mijn water is.

 

[joostman]

Interessant! Ik wilde speciaal pihole niet noemen omdat ik wist dat deze niet de blokkerende factor was. (tijdelijk uitgezet en nog steeds geen werkende app)
Maar daarmee experimenterend zag ik wel dat het tig connecties opzette voor advertenties. Deze aan het begin allemaal op whitelist gezet, maar kwam er al snel achter dat het de firewall was die het tegenhield. Ik hoopte eigenlijk dat er ergens gelogd wordt welke apparaten intern een verbinding op willen zetten met een extreme bron en ik zo kan identificeren welk op adres ik moet whitelisten (zonder de hele blokkade op te heffen wat ik momenteel heb)

 

[Eddie the Eagle]

Ik hoopte eigenlijk dat er ergens gelogd wordt welke apparaten intern een verbinding op willen zetten met een extreme bron en ik zo kan identificeren welk op adres ik moet whitelisten (zonder de hele blokkade op te heffen wat ik momenteel heb)

En zoals je hierboven ziet wordt door Pi-Hole (naast de terecht geblokkeerde advertenties) ook het verkeer vastgelegd dat wel door mag. Zo kun je precies zien waar je App verbinding mee maakt.

 

[Hofstede]

Alles wordt in de messages log weggeschreven.

Dus via SSH kijken in de messages log.

Bijvoorbeeld:

tail -F /var/log/messages

 

[joostman]

Alles wordt in de messages log weggeschreven.

Dus via SSH kijken in de messages log.

Bijvoorbeeld:

tail -F /var/log/messages

Dat dacht ik dus ook, alleen is er geen messages in de log directory van de Dream Machine..

 

[Eddie the Eagle]

Dat dacht ik dus ook, alleen is er geen messages in de log directory van de Dream Machine..

Da`s vreemd.....desalniettemin komen die berichten daar ook niet in terecht maar in Syslog (in dezelfde directory /var/log) of op een remote Syslog server als je dat hebt ingesteld.

Voorwaarde: Enable Logging aanzetten voor de betreffende firewall regel die je wilt monitoren, anders wordt er niks vastgelegd.



Vervolgens kijk je wat er gebeurt in Syslog; hieronder een testje waarbij ik met een client in het IoT netwerk (SRC Laptop IP 192.168.3.188) probeer om de gateway te bereiken via poort 80 (DST UDM-SE IP 192.168.3.1). De Firewall regel (DESCR) heeft bepaald dat dat niet mag en dat wordt dus ook netjes vastgelegd zoals je hieronder kunt zien.