QuFirewall meldet ständig geblockte Pakete

    Hallo zusammen,


    mein TS-431P NAS hängt mit aktuellster Firmware hinter einer Fritzbox 7490 mit ebenfalls aktuellster Firmware.

    Auf der Fritzbox sind keine Portfreigaben, kein DynDNS, kein VPN eingerichtet.


    Die Firewall des NAS ist aktiviert (vorkonfigurierte Basic Regeln). Jede Stunde bekomme ich eine Nachricht, dass die Anzahl der Ereignisse (30) überschritten wurde.

    Eigentlich wollte ich die Firewall schon komplett deaktivieren, da das NAS ja nur intern zu erreichen ist und ich daher kein Risiko sehe. Jetzt machen mich die Hinweise aber doch stutzig, was hier abgeht!?


    Ich hab hier mal einen Screenshot der Firewall eingestellt:


    pasted-from-clipboard.png


    Die Meldung, dass so viele IPv6 Pakete abgewehrt wurden verstehe ich nicht. Intern habe ich ja gar keine IPv6 Vergabe, es kann also auch kein solches Gerät Anfragen an das NAS schicken!?


    Gibt es evtl. doch noch eine Einstellung an der FritzBox die ich übersehen habe? Auf was muss ich achten, wenn ich die Firewall komplett deaktivieren möchte?


    Grüße

    Thomas

    So richtig verstehe ich diesen "Eventcount" nicht... soll das die vorhandenen Deny-Regeln darstellen und dann wird einfach nur angezeigt, wie oft diese Regel in einem bestimmten Intervall zugetroffen hat?

    Wenn dem so ist, ist alles schick und die Meldungen kommen tatsächlich nur von IPv6, aber nicht von außen.

    Egal ob v4 oder v6: Die Anfragen können auch von anderen Geräten aus dem LAN kommen, ich vermute hier irgendwelche Broadcasts.


    Wie sehen denn die Interface Einstellungen am QNAP aus? Ist IPv6 hier explizit deaktiviert? Ansonsten hat der QNAP (wie jedes andere Gerät mit aktivem v6) immer eine Link-Local Adresse (fe80:) über die es aus dem Netzwerk erreichbar ist.


    Alternativ könntest Du einfach die FW Regel für "deny all v6" löschen, ich würde aber tatsächlich die QuFirewall ausschalten

    Bei einer echten Firewall schaut man dann ins Log oder schaltet es ein, dann sieht man was hier blocked wurde und muss nicht raten.

    Die 185.x.x.x gehören zu Arabische Emirate.

    Die 93.x.x.x ist der Telekom zugeordnet.

    Fragwürdig ob Geräte mit diesen IPs im LAN unterwegs sind. :)

    Aber die QuFirewall ist bisher auch ein Mysterium. Zumindest was man hier so mitbekommt.

    Andere sagen Schlangenöl dazu....

    Zitat von Sportschau

    Auf der Fritzbox sind keine Portfreigaben, kein DynDNS, kein VPN eingerichtet.

    Irgendwie müssen aber die Pakete vom Router zur NIC der NAS kommen.

    Auch kein DynDNS von QNAP?

    Zitat von Crazyhorse

    Bei einer echten Firewall schaut man dann ins Log oder schaltet es ein, [...]

    Was übersetzt auf die QuFirewall bedeuten würde:

    Eine Zeitlang "Capture Events" laufen/loggen lassen. Das zeigt an, was genau geblockt wird. Dann könntest Du das (eventuell) an den Geräten im LAN unterbinden. Das wäre meine Dritte Wahl, wenn die v6 Regel und QuFirewall unbedingt bestehen bleiben sollen :)


    rednag:

    Die WAN IPs werden aber offensichtlich nicht geblockt und versuchen entsprechend auch keine Verbindung aufzubauen... Mysterium QuFirewall, genau. Der "count" bei den IPs ist 0, also alles schick. Es geht nur um v6 blocks, deren count als einziger ungleich 0 ist.


    Fast so kompliziert wie Deine Sophos ;)

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Überschneidung, Zitat hinzugefügt...

    Sorry, versteh ich grad nicht so recht.

    Auf dem Screenhot sind es IPv4-Adressen.

    Diese müssen ja zur QNAP gelangt sein. Woher soll die FW sonst was davon wissen.

    Und ich kann mir nicht vorstellen, daß der User in den Arabischen Emiraten beheimatet ist.

    Ich kenne die QuFirewall nur aus Screenshots. Und ich finds genauso unübersichtlich wie das QuLogCenter.

    Also ich verstehe dieses Meldungscenter auch nicht 100%ig. Aber ich dneke, dass tatsächlich nur IPv6 Pakete zu den Meldungen führen. Es werden alle Regeln aufgeführt, die aktuell gelten. Aber nur die IPv6 Regel hat Counts.

    Zitat von rednag

    Sorry, versteh ich grad nicht so recht.

    Meine Vermutung war, dass es (per default) irgendwelche Regeln gibt, die diese Adressen (warum auch immer) ausschließen und diese Adressen deshalb dort aufgeführt sind. Allerdings mit dem Counter=0, also mit der Angabe, dass diese Regel bislang nicht gegriffen hat / diese IP Adressen nicht versucht haben mit dem NAS zu sprechen.


    Ich habe mir die QuFirewall mit Basic Protection aber grad nochmal angeschaut und hier werden eben nicht alle Regeln bei "Event Count" angezeigt.

    Ergo stellt sich tatsächlich die Frage, was bei Sportschau genau los ist, sprich warum diese Adressen dort aufgeführt sind und was das bedeutet.

    Ebenso stellt sich die Frage, was diese Seite "Event Count" überhaupt bezwecken soll, bei mir sah das gerade so aus:

    pasted-from-clipboard.png

    Kann ich wenig mit anfangen, ein Packet Capture über die entsprechende Funktion zeigt mir, dass ausschließlich MDNS, NBNS und ICMP geblockt wurden, also Broadcast, Multicast und Ping.

    Mit Freude schalte ich die QuFirewall jetzt wieder ab.


    Sportschau : Poste mal bitte die Regeln, die bei Dir definiert sind und lass mal über einige Zeit "Capture Events" laufen.

    Zum öffnen braucht man mittlerweile Wireshark, das verrät auch der Text in Chinesischen Schriftzeichen wenn man die Funktion startet :D .

    "Früher" gab es hier noch eine einfache Textdatei.

    Das ist doch keine Firewall, bei einer richtigen hast du gleich ein menschen lesbares Text Format als Log vorliegen.

    Oder in der Gui dieses entsprechend aufbereitet.

    Mit Source IP Port Destination IP Port Protokoll State und Zeit sowie Pakete die übertragen wurden.


    Ja klar bei der Sense kann ich auf nem Int auch nen Capture laufen lassen, den dann als Txt ansehen und für Details als pcap laden und mit dem Wireshark ansehen.


    Wenn das bei der QFW aber der einzige Weg ist, einfach löschen das Teil.

    Es ist nicht einsetzbar in diesem Zustand!

    Nun, ist ja noch relativ neu das Teil.

    Wird bestimmt noch weiterentwickelt.

    Aber für so richtig produktiv würd ich die noch nicht einsetzen.

    Hat irgendwie was von das eigene Gewissen beruhigen.

    Kann es sein, dass diese QuFirewall so ein Cloud-Teil ist, was mit der QNAP-Zentrale IP-Adressen austauscht, die unangenehm aufgefallen sind?

    Also irgendein von außen erreichbares QNAP NAS irgendwo auf der Welt erkennt unbefugte Zugriffe von 185.198.57.185, seine QuFirewall meldet das ans QNAP Cloud Security Center, die QuFirewall von Sportschau ruft die neueste Blocklist vom QNAP Cloud Security Center ab und hat damit 185.198.57.185 in seiner Blocklist, obwohl sie selbst nie Traffic von dort gesehen hat.

    Würde es erklären ...

    Zitat von tgsbn

    Kann es sein, dass diese QuFirewall so ein Cloud-Teil ist, was mit der QNAP-Zentrale IP-Adressen austauscht,

    Zumindest im "Basic Protection" Ruleset habe ich sowas nicht gesehen.

    Damit wäre so eine Regel zwar da, erklärt aber dennoch nicht, warum diese eine Regel/ IP (es müssten ja mehrere Tausend sein) dann in der Ansicht "Event Count" aufgelistet ist, andere wiederum aber nicht aufgeführt sind. Komischerweise werden manche IPs lt. Screenshot auch noch mehrfach aufgelistet.

    Ist für mich noch ein Buch mit sieben Siegeln und sicherlich alles andere als ausgereift, auch wenn die QuFirewall den Betastatus längst verloren hat.

    Kurzes Update. Ich habe jetzt den IPv6 Netzwerkzugang in der QNAP jetzt deaktiviert. Jetzt ist Ruhe.

    Hier noch die eingestellten Regeln:

    pasted-from-clipboard.png


    Ich werde die Firewall aber jetzt abschalten. Zugang von außen befürchte ich aktuell keinen.

    Interessant, also hast Du tatsächlich (warum auch immer) Regeln zu den heiß diskutierten v4 Adressen drin.

    Wenn es durch Deaktivieren von v6 gegessen ist, werden es tatsächlich Broad/- Multicast Anfragen gewesen sein die geblockt wurden.

    Auch schon wieder so eine v6-Sache: Wieso soll eine Firewall per default jegliches v6 blocken? Hat die Welt echt so viel Angst vor IPv6?

    Hm, irgendwas ist da auf jeden Fall anders... wahrscheinlich versehentlich verstellt...

    Jedenfalls macht es nicht viel Sinn Afghanistan oder die 185.er IPs zu blocken, wenn außer Deutschland sowieso die ganze Welt blockiert wird.

    Zumindest ist das die Erklärung, warum diese IPs in der "Event Count" Liste angezeigt werden. Ausgelöst haben diese Regeln nie, von daher:

    Zitat von Sportschau

    Zugang von außen befürchte ich aktuell keinen.

    Richtig.