Erläuterung der Firewall-Meldungen

Grundsätzlich wird im SX-GATE jedes Paket protokolliert das durch die Firewall abgewiesen wird. Von dieser Regel gibt es lediglich folgende Ausnahmen:

  • Es werden sehr viele Pakete aus dem selben Grund abgewiesen. Einer Überlastung des Systems wird entgegengewirkt indem pro Sekunde nur manche Pakete davon protokolliert werden
  • Die Intrusion-Prevention blockiert das Paket
  • Die dynamische Firewall blockiert das Paket
  • Bei deaktiviertem IP-Routing werden weiterzuleitende Pakete kommentarlos verworfen

Um das Firewall-Log anzuzeigen wechseln Sie bitte in das Menü »Monitoring > Log-Dateien« oder öffnen Sie das »Live-Log«. Wählen Sie als »Log-Datei« den Eintrag »Firewall«.

Die Zeilen des Logs haben folgendes Format:

Datum Uhrzeit Name kernel: Stufe Aktion [Grund] Schnittstellen Paket-Signatur

Das wichtigste Feld ist dabei der »Grund«. Die häufigsten Werte sind:

restricted

Verbindung in aktueller Konfiguration nicht zulässig. Tragen Sie eine Firewall-Regel ein um die Verbindung zu erlauben.

SRC=spoofed

Es wurde ein Paket mit einer Absender-IP empfangen, die nicht zur Schnittstelle passt. Der Absender verwendet entweder tatsächlich eine falsche IP oder im SX-GATE muss eine passende Route für das bislang unbekannte Netz in der zugehörigen Schnittstelle eingetragen werden. Den Namen der Schnittstelle finden Sie unter »IN«.

STATE=new !SYN

Ein TCP Paket wurde empfangen, das keiner bestehenden Verbindung zugeordnet werden konnte. In der Regel ist dies unproblematisch. Sind Eingangs- und Ausgangsschnittstelle angegeben und identisch (»IN« und »OUT«), kann asymetrische Routing die Ursache sein. Für LAN-Schnittstellen kann dies unter »Module > Firewall > Einstellungen« freigegeben werden.

Weitere Information zur Bedeutung der einzelnen Felder finden Sie im Handbuch und in der Online-Hilfe des SX-GATE.