Firewall

Purpose: Analyzing dropped return packets. Check Drop Counters for Silent Drops Use the CLI to identify silent drops that bypass logging: show counter global filter delta yes | match drop Look for counters like: flow_pkt_status_tcp_timeout_receive: TCP session aged out due to inactivity. flow_aged_out: Session expired (check session timers). flow_deny_tcp_not_syn: Non-SYN packet in a new session (indicates state mismatch). flow_deny_mismatch: NAT/zone/routing mismatch. bp_drop, zone_defense_drop, or ip_fragment_drop: Zone protection or fragment drops. Reference: What is the significance of Global Counters? Packet Flow Sequence in PAN-OS ...

Das Filtern von IPv6 ist eigentlich nicht so anders wie bei IPv4. Allerdings muss man bei ICMP ein bisschen umdenken. Unter Anderem ist Path MTU Discovery quasi “mandatory” und manche Dinge, die man früher einfach doof weggedroppt hat, muss man jetzt erlauben, sonst gehen nämlich unter Umständen auch mal Dinge nicht. Und man weiß nicht warum, bis man feststellt, dass das Logging aus ist. ...

Ich bau ja wenn ich irgendwo einen Router oder Firewall brauche entweder mit Debian und ferm/iptables oder in wenigen Fällen auch mit OpenBSD/pf. Das hat sich über die Jahrzehnte bewährt. ...

In einem aktuellen Projekt hatte ich eine kleine Herausforderung: Ich muss in zwei verschiedenen Netzen die gleichen IP-Adressen verwenden. Bisher habe ich da mit zwei kleinen Linux Iptables VMs gearbeitet, die beide NAT gemacht haben. ...

Wer kennt das nicht: Da hast Du eine Check Point Firewall mit drölftausend Interfaces und musst für Ruhe im Log sorgen, indem Broadcast-Pakete LEISE verworfen werden. ...