OPNsense Forum
International Forums => German - Deutsch => Topic started by: kruemelmonster on October 06, 2021, 10:41:47 am
-
Hallo *,
ich habe eine Frage zu den Aliasen. Da kann man ja eine oder anscheinend auch mehrere Domains eintragen, damit die OpnSense die IP-Adressen auflöst. Mit einer einzelnen Domain habe ich das auch bereits umgesetzt.
Ich möchte aber die Domains für die Windows-Telemetrie nicht nur auf DNS-Ebene blocken sondern rabiat in der Firewall. Das sind dann aber je nach Liste mehrere hundert Domains. Gibt es da eine Obergrenze? Oder gilt hier "Versuch mach kluch?
Gruß Krümelmonster
-
Zu viele machen hier keinen Sinn, deshalb macht man sowas im Normalfall am Einfachsten über IP Listen oder DNS, denn ansonsten hast du irgendwann mehrere hundert bis tausend Domains die die Sense alle paar Minuten wieder komplett abfragen und in Aliase umwandeln muss. Macht keinen Sinn, darum geht man das u.a. ja mit DNS Filtering an. Zudem sind bei Telemetrie auch *.xyz.microsoft.com Domains im Spiel und Wildcards (*) können nicht via Alias aufgelöst und gefiltert werden.
Das Oberlimit für Alias Tabellen generell (nicht DNS sondern egal welcher Inhalt) wird über die Variable FirewallMaximumTableEntries bestimmt. Der Wert ist aber generell hoch, da man hier von IP Tabellen ausgeht und diese natürlich auch mal recht groß werden können, gerade bei großen IP Listen wie Firehol et al.
Wie gesagt sind diese aber für große Mengen an DNS Filtern eher nicht gedacht, da greifen einfach DNS Blockaden und umleiten via 0.0.0.0 am Besten.
Cheers
Cheers
\jens