Eine Verständnisfrage, evtl. gibt's auch eine Lösung:
Ich habe für ein kleines Firmennetzwerk seit einiger Zeit Opnsense laufen.
Seit neuestem funktioniert auch das IPS auf WAN - und zeigt mir natürlich haufenweise Alerts. Die meisten sind dabei jedoch auf Ports, die überhaupt nicht offen sind (warum auch immer das jemand macht) - sind mir also völlig egal.
Verstehe ich das richtig, dass die IDS / IPS vor der Firewall läuft? Und warum ist das so und könnte man das ändern? Bei Verbindungsversuchen auf geschlossene Ports würde doch pf die Pakete viel effektiver verwerfen als Scuitata - das IPS müsste dann nur die Pakete analysieren, die es durch pf schaffen. Und ich hätte nur die relevanten Alerts im Log...
Danke!