OPNsense Forum

International Forums => German - Deutsch => Topic started by: t00r on August 29, 2018, 11:25:31 am

Title: suricata - Whitelisting von IPs möglich?
Post by: t00r on August 29, 2018, 11:25:31 am

Ja hallo erstmal,

ich bin der t00r und neu in der OPNsense Welt.

Ich habe mir meine OPNsense-Firewall seit letzter Woche frisch eingerichtet, so Step-for-Step.

Hinter der Firewall hängt eine FritzBox 7490 in einer eigenen DMZ, die WLAN und VoIP für die Benutzer hier macht (kleines Home-Netzwerk).
Die Fritze hängt deswegen hinter der Firewall, um sie vor den Bedrohungen aus dem Internet zu schützen, bspw. SIPvicious u. ä.
Das wollte ich schon laaaaange umsetzen!
Denn ich bin zwar großer AVM-Fan - habe bspw. schon deren ISDN Fritz!-Karten seit 199x genutzt - aber in letzter Zeit... naja... habe nicht mehr so ein gutes Gefühl wie früher... kenntihrja...

Die Einrichtung war mit Hilfe dieses großartigen Forums (über Google-Suche) erheblich möglich, denn die OPNsense Hilfe selbst ist z. T. etwas dürftig, aber trotzdem super gemacht.

Es läuft auch alles sehr gut soweit!   :D

Doch jetzt kommen die kleinen Fragen, zu denen ich einfach nichts gescheites als Antwort finde.

Naja, jedenfalls habe ich mir nach dieser Anleitung
https://forum.opnsense.org/index.php?topic=6893.0 (https://forum.opnsense.org/index.php?topic=6893.0) Fast and easy way to protect your home and/or small office network with OPNsense
suricata aktiviert.

Frage:
Ich möchte unter anderem unten stehenden Meldungen (aus  /var/log/suricata.log, habe das eingeschaltet) gerne Whitelisten, denn es handelt sich um regulären Datenverkehr. Aber die IPS-Signatur möchte ich beibehalten.
Am liebsten wäre es mir, wenn dieser Datenverkher erst gar nicht von suricata geprüft wird.

Geht das ohne großen Aufwand?

Freue mich auf Eure Antworten!  :)

Code: [Select]

Aug 29 11:00:03 fw suricata[69634]: [1:2018904:6] ET INFO Session Traversal Utilities for NAT (STUN Binding Request obsolete rfc 3489 CHANGE-REQUEST attribute change IP flag false change port flag false) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} FRITZBOX_IP$:5060 -> 212.227.67.33:3478
Aug 29 11:00:03 fw suricata[69634]: [1:2018908:2] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} 212.227.67.33:3478 -> FRITZBOX_IP$:5060
Aug 29 11:00:57 fw suricata[69634]: [1:2018904:6] ET INFO Session Traversal Utilities for NAT (STUN Binding Request obsolete rfc 3489 CHANGE-REQUEST attribute change IP flag false change port flag false) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} FRITZBOX_IP$:5060 -> 217.10.68.152:3478
Aug 29 11:00:57 fw suricata[69634]: [1:2018908:2] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} 217.10.68.152:3478 -> FRITZBOX_IP$:5060


Title: Re: suricata - Whitelisting von IPs möglich?
Post by: mimugmail on August 29, 2018, 12:34:18 pm

Das geht leider nicht. Du könntest vielleicht mit Home Nets rumspielen wenn die Regel immer auf eine Adresse matcht

Title: Re: suricata - Whitelisting von IPs möglich?
Post by: t00r on August 29, 2018, 04:41:05 pm

Achso, okay, Danke!  :)   

Andere Baustelle/Frage:

Wie macht ihr das mit VoIP?

Ich habe das Ganze jetzt wie folgt gelöst:   

• Die Port-Forward NAT-Regeln für die VoIP-Ports habe ich getrennt für 1und1 und Sipgate (Network-Aliase) angelegt inkl. der dazugehörigen FW-Rules (auf WAN-Interface).
  
• Ich habe auf dem WAN-Interface eine FW-Rule erstellt, die alle anderen Zugriffe blockt und loggt.

So wie ich das verstehe, kommend diese Pakete nun erst gar nicht mehr an die suricata IPS, korrekt?