Hallo,
ich möchte gerne z.B. filehole abuselists einbauen und tendentiell blockieren. Ich würde sie dann auf dem WAN Interface an erster Stelle setzen. Da diese Listen aber mehrere tausend IP's beinhalten, würde ich gerne erstmal eine Art DUNNO Modus laufen lassen, sprich kein Block, Pass oder Reject. Ich will mein Logfile nach einem Label grepen und sehen, was auf diese Regel auffäuft.
Habt ihr da einen Tipp?
Danke!
Was hast du bisher für regeln auf deinem WAN?
setz' sie doch mit drop einfach ganz unten hin (also vor die default deny rule). das sollte ja denselben effekt haben, oder?
Hallo und erstmal danke für eure Beiträge.
Ich habe logischerweise allerhand Regeln im WAN Interface. Diverse NAT freigaben für VPN, Webserver, Mail und sonstige Dienste.
Zur Zeit stehen meine firehole Regeln tatsächlich schon ganz unten, und ja man sieht da auch viel, das geblockt wird. Nur werde ich so nicht verhindern, dass ein "Bösewicht" aus der Fireholeliste für z.B. meine Webserver blockiert wird, eben weil die Regeln weiter unten stehen.
Mein Ziel war es eigentlich, vorher rauszufinden, ob durch irgendeinen Zufall für mich wichtige, fremde IP's Plötlich von meinem Netz abgeschottet werden. Ich glaube ich werde nicht drum rum kommen es einfach nach "oben" zu setzen und schauen was nicht mehr geht ;-)
Dennoch wäre es wünschenswert eine DUNNO Option zu haben, um zu sehen OB eine Regel fetchen würde. Ein generelles Pass oder Deny kann hier hinderlich sein.
Du könntest noch eine Floating Rule ohne Quick ausprobieren. Die sollte ja nichts blockieren, wenn später auf dem Interface ein Pass matched.
Ich kann dir allerdings nicht sagen, ob die dann geloggt wird, keine Erfahrung damit. Wäre aber natürlich cool wenn das klappt, das sollte ja dann deinen Use Case treffen oder?