Onderwerp bekijken
Info en vragen over de verschillende Ziggo modems en WiFi, poorten, portforwarding en de firewall instellingen. Modems: Horizon Mediabox GW-7400, Cisco EPC 3925 WiFi, Cisco EPC 3928 WiFi ,Ubee EVM 3200, Ubee EVW 3200 Wifi (Ambit EVW320B), Ubee EVW 321B Wifi, Ubee EVW 3226 Wifi. En de oudere modems: Motorola SBV 5100e, SBV 5101e, SBV 5120e, SBV 5121e, Arris CM450B, TM401B, TM501B, TM702B, Ubee EVM 320B, Cisco EPC 3212.
 Onderwerp afdrukken
Syslog, TIP
briolet
De Ubee heeft bij firewall de optie om detecties naar een syslog te sturen. Dit zjn veel uitgebreidere datastromen dan de entries in het lokale log. Dat is waarschijnlijk ook de reden dat je kunt kiezen welke events je gelogd wilt zien.

Ik heb echter het probleem dat achter mijn Ubee een airport router zit met een tweede netwerk in een eigen IP range. Op dat netwerk draait bij mij een syslog server (Synology nas) die nu alleen de Airport logt. Het lukte me nooit de Ubee ook daar naartoe te laten loggen omdat je in de Ubee alleen een IP kunt geven in de Range van de Ubee zelf.

Ik kreeg echter net een helder moment: Ik hoef het adres van de syslog server niet eens op te geven, het is voldoende om het WAN IP van mijn airport op te geven al syslog adres. Dan maak ik in de airport een portforward voor poort 514 (=syslog-poort) naar de syslog server.

Nu gebruik ik dmz om alle inkomende verkeer naar de airport te leiden en daarmee is plots de syslog server van buiten toegankelijk. Dat wil ik niet omdat loggen zonder wachtwoord gaat. Maar gelukkig kun je in de Ubee poorten filteren. Dus ik heb hier poort 514 gefilterd zodat die niet meer vanuit de WAN kant doorgelaten wordt.

Overigens klopt de beschrijving in de Ubee zelf niet helemaal omdat in het menu staat:

Quote

This page allows configuration of port filters in order to block specific internet services to all devices on the LAN.
Dat suggereert dat deze poorten op de LAN zijde geblokkeerd worden. Klopt dus niet omdat deze poort wel doorgegeven wordt. Het blokkeert deze poort alleen van WAN->LAN.

Maar nu moet ik kijken wat zinvol is, omdat alle checkboxen aan in elk geval te veel triggert. In een half uur tijd heeft hij al 400 entries als ik de optie "Permitted entries" heb aanstaan. En dat is natuurlijk legaal verkeer.Grin
 
Black Tiger
De beschrijving klopt mijns inziens wel degelijk.

Quote

Dat suggereert dat deze poorten op de LAN zijde geblokkeerd worden.

Leesfoutje.Wink
Het suggereert dat die poorten -naar- het LAN geblokkeerd worden, niet vanaf het LAN:

Quote

internet services to all devices on the LAN

Dus inderdaad Wan->LAN maar dat staat er ook.
Greetings, Black Tiger
 
briolet

Quote

Leesfoutje.Wink

Dat realiseerde ik me later ook. Internet is natuurlijk hetzelfde als WAN. In elk geval op een modem-router. Bij mijn tweede router is de WAN kant nog steeds mijn lokale netwerkWink.

Ik ben er inmiddels ook achter dat de optie "Known Internet Attacks" loggen dezelfde info logt dan het lokale log, maar dan zonder zichzelf te overschrijven. De andere 3 opties loggen extra zaken. En zoveel, dat je het niet eens standaard aan wilt hebben, alleen voor test doeleinden. En hierbij vond ik een hinderlijke bug omdat hij elke message het niveau "ALERT" meegeeft terwijl er in principe 7 niveaus zijn. Ook een entry uit de categorie "Permitted Connections" krijgt het niveau Alert. Zou het niveau "informatief" of "debug" moeten krijgen omdat het er nu veel te bedreigend uit ziet. Mijn Airport genereert normaal alleen log messages uit de categorie "informatief".

In de Syslog rating is nog maar één hoger niveau mogelijk en dat is EMERGENCY. Momenteel had ik mijn syslog server ingesteld om alleen voor het emergency niveau een mailtje naar mij te sturen. Maar lager instellen kan nu ook niet meer als ik niet overspoeld wil worden met alert-mailtjes.Frown
 
Black Tiger
Ja als jij aan de WAN kant nog steeds je lokale internet hebt, ligt dat aan je opstelling, officieel is het daar niet voor bedoeld.Grin
Maar dat maakt verder niet uit, want het kan er goed voor gebruikt worden in diverse gevallen.

Het loggen is erg handig, heb er zelf ook eens over gedacht een syslog server op te zetten maar het is er nooit van gekomen.
Vervelend is inderdaad wel datgene waar jij over spreekt, namelijk die bugs en het feit dat er op bepaalde punten over "alert" of bij sommige andere routers over "warnings" gesproken wordt, terwijl feitelijk datgene waar naar verwezen wordt geen security issue is.
En dan is een logging als "notice" wel een stuk beter.
Net zoals je zegt wil je inderdaad niet overspoelt worden met mailtjes of logfloods met informatieve info waar je toch niets mee doet. Wat dat betreft is er nog wel iets te verbeteren aan de huidige generatie modems en routers.
Greetings, Black Tiger
 
Deze website gebruikt Awin affiliate links en Google advertenties, om deze service voor iedereen gratis te houden.
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'Syslog, TIP', te verwijzen!
BBcode:
HTML:
Advertentie