OPNsense Forum

Hallo,

ich habe nach dieser Anleitung versucht eine Blocklist von FireHOL einzubinden: https://blog.dannykorpan.de/archives/1-Cyber-Angriffe-abwehren-durch-FireHOL-Blocklist-in-OPNsense.html

Allerdings kann meine OPNsense anscheinend den Link zu der angegebenen Liste nicht herunterladen. Im Systemlog finden sich folgende Einträge:


2022-05-19T14:07:01
/update_tables.py fetch alias url https://github.com/firehol/blocklist-ipsets/blob/master/firehol_level3.netset (lines: 69985)
2022-05-19T14:05:01
/update_tables.py alias resolve error FireHOL (error fetching alias url https://github.com/firehol/blocklist-ipsets/blob/master/firehol_level3.netset)
2022-05-19T14:05:01
/update_tables.py error fetching alias url https://github.com/firehol/blocklist-ipsets/blob/master/firehol_level3.netset
2022-05-19T14:05:01
/update_tables.py fetch alias url https://github.com/firehol/blocklist-ipsets/blob/master/firehol_level3.netset (lines: 69985) (lines: 69985)


Habt ihr einen Tipp woran das liegen könnte und wie ich das Problem lösen könnte?

Markus

Edit: Eine identischer Alias nur mit einer Spamhaus-URL funktioniert 1a.

Moin,

mit dem hier geht das: https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level3.netset
Wichtig ist dass raw.githubusercontent.com verwendet wird.

Firehol L3 ausgehend ist aber manchmal Mist, die würde ich nur eingehend anwenden ;)

Danke @tiermutter, genau das war es.  :)

Die Regel ist doch nur eingehend laut der Anleitung (Direction = in). Oder täusche ich mich da?

Habe ich mir nicht im Detail angeschaut, schaue ich später ggf nochmal hin :)

Die Seite/ Anleitung ist Käse.
1. Nutzt man floating rules, wenn eine Regel auf alle Interfaces zutreffen soll wie da beschrieben wird "alle WAN und LAN Interfaces".
2. Sollten die Regeln für LAN und WAN unterschiedlich aussehen. Das meine ich mit eingehend und ausgehend. Auf dem LAN wird das Ziel geblockt (ausgehend), auf dem WAN wird die Quelle geblockt (eingehend). Laut Anleitung wird auch auf dem WAN das Ziel geblockt, das macht für mich zumindest keinen Sinn.

Danke @tiermutter für die Hinweise.

Wenn ich das mit den Floatingregeln richtig verstehe, werden diese Regeln für alle Schnittstellen angewendet ohne das ich für jede einzelne eine erstellen muss, oder? Zumindest verstehe ich das in den Docs so.

Das mit dem Unterschied zwischen LAN und WAN ist auch interessant. Macht man das mit der DMZ genau so?

Bei den Floating rules kannst Du angeben, auf welche Interface die Regel angewendet wird.
Aber Obacht: Floatings werden immer vor den Interface Regeln angewendet. Wenn also Interface Regeln vor der Blocklist Regel greifen muss, muss die Regel separat für das Interface erstellt werden, statt über Floating.

Ob das für die DMZ auch gelten soll kommt halt drauf an, adhoc spricht nichts dagegen, aber das kommt auch auf die Liste an... Firehol Level 1 kannst Du da zB nicht verwenden, da sie die Full Bogons (private Netze) beinhaltet.

Danke für das Feedback.

Habe die Regeln (FireHOL, Spamhaus) bei den Interfaces jetzt mal rausgeschmissen und Floatings für das WAN (eingehend) und LAN, DMZ (ausgehend) erstellt.

Wunderbar, hoffe es läuft :)
Welche Listen hast Du jetzt im Einsatz?

Ich nutze die FireHOL Level 3 sowie Spamhous Drop und EDrop.
Zusätzlich nutze ich noch GeoIP block.

Ausgehende Regeln braucht man praktisch nie. Kannst du mal eine davon posten? Nur wenn du willst, natürlich.

Sorry, das "ausgehend" und "eingehend" habe ich wohl etwas unverständlich reingebracht...

Mit ausgehend meine ich "Clients aus dem LAN (und co) dürfen nicht zu IPs auf den Listen sprechen".
Mit eingehend meine ich "IPs auf den Listen dürfen nicht zu Clients im LAN / der Sense sprechen".
Auf den Interfaces wirken aber alle Regeln inbound.

Bei mir sieht das dann so aus:
(https://iili.io/XdqA0v.md.png) (https://freeimage.host/i/XdqA0v)

Wobei alle Regeln* wo die Listen als Source angegeben sind auf WAN Interfaces wirken (eingehend) und alle Regeln wo die Listen als Destination angegeben sind auf LAN/ VPN/ interne Interfaces wirken (ausgehend).

*Firehol L1 wirkt nur auf ein WAN Interface, da ich am LTE if ein LTE Modem hängen habe, was sonst geblockt werden würde.

Hier mal mein Screenshot...

Warum je zwei mal Firehol und Spamhaus? Beides bei der Quelle, aber inbound/outbound.
Das ist so nicht korrekt, aber mein Fehler, dass ich das so unglücklich formuliert habe, siehe mein letzter Post.

BTW:
Die können alle auf v4 only als Protokoll stehen... keine der Listen beinhaltet v6 Adressen. Für v6 gibt es nur Spamhaus DROPv6

Danke dir. Dann werde ich mal versuchen meines umzubauen und deines als Basis verwenden.
Wenn ich darf und mir noch Fragen kommen, würde ich mich hier melden?

Hätte tatsächlich noch zwei Fragen zu deinen Regeln:

- Wieso nutzt du bei den "Source"-Regeln nur die Spamhaus IPv6 und nicht auch die Drop und EDrop?
- Ich komme nicht dahinter, was bei der "Destination"-Regel das durchgestrichene bedeutet (level 3)

Durchgestrichen = deaktiviert, weil Firehol L3 "ausgehend" gerne Probleme bereitet. Das durchgestrichene kommt wegen dem GUI Theme, sonst ist das nicht durchgestrichen.

DROP und EDROP machen für mich keinen Sinn, da diese Listen zu 100% in Firehol L1 enthalten sind.
Allerdings lieferst du mit gerade den guten Hinweis, dass ich die beiden besagten Listen durchaus auf das LTE Interface anwenden sollte, da ich die Firehol L1 hier ja nicht anwenden kann... Danke :) ;)

Quote from: MarkusK on May 20, 2022, 02:18:49 PM
Danke dir. Dann werde ich mal versuchen meines umzubauen und deines als Basis verwenden.
Wenn ich darf und mir noch Fragen kommen, würde ich mich hier melden?

Achja: immer gerne, aber ich bin jetzt auch nicht die Firewall Ikone... Also kann auch sein, dass ich hier totalen Mist baue ;)

Moin nochmal...

ich habe mir erlaubt diesen Thread als Initiator zu nehmen um einen kleinen Artikel / Anleitung über die (meine) Verwendung von IP-Blocklisten zu schreiben.
Alles andere als perfekt, denn ich habe hier ja gerade erst von einem Missstand in meinem Setting erfahren, der nicht in die Anleitung eingeflossen ist.

Hier der hoffentlich etwas detailliertere Artikel über das, was ich aussagen wollte und nicht die Verwirrungen aufwirft, für die ich hier gesorgt habe:
https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/
(Die Seite samt Forum wird nicht von mir betrieben und richtet sich im Wesentlichen an Netzwerk-Einsteiger)

Quote from: tiermutter on May 20, 2022, 11:22:19 PM
Moin nochmal...

ich habe mir erlaubt diesen Thread als Initiator zu nehmen um einen kleinen Artikel / Anleitung über die (meine) Verwendung von IP-Blocklisten zu schreiben.
Alles andere als perfekt, denn ich habe hier ja gerade erst von einem Missstand in meinem Setting erfahren, der nicht in die Anleitung eingeflossen ist.

Hier der hoffentlich etwas detailliertere Artikel über das, was ich aussagen wollte und nicht die Verwirrungen aufwirft, für die ich hier gesorgt habe:
https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/
(Die Seite samt Forum wird nicht von mir betrieben und richtet sich im Wesentlichen an Netzwerk-Einsteiger)

Danke für die Anleitung, warum Floating bzw. Fließend(oder?), also geht das, auch wenn man entsprechend in LAN und WAN die Regeln einfügt und Level1 dann nur bei WAN? So habe ich es nach der Anleitung in der Sensedoku gemacht, müsste also auch passen? Siehst du da in die live Ansicht rein oder sammelst du Datenpakete für die Auswertung, weil bei mir wird in der live Ansicht keine Blocklisten erwähnt.

Wo hast du die Mailware her, kannst du mir diese evtl. zukommen lassen xD nur für Testing in einer VM^^

Ich kenne die Deutsche GUI nicht, aber vermutlich ist Floating = Fließend , ja :)

Quotealso geht das, auch wenn man entsprechend in LAN und WAN die Regeln einfügt und Level1 dann nur bei WAN?

das verstehe ich nicht... was meinst Du?

QuoteWo hast du die Mailware her

Das weiß ich nicht mehr und es war auch nicht gewollt, ich hatte es nur wissentlich riskiert sowas einzufangen.
Aber selbst wenn... würde ich den Schrott nicht verbreiten ;)

Quote from: tiermutter on May 21, 2022, 12:26:58 AM
Ich kenne die Deutsche GUI nicht, aber vermutlich ist Floating = Fließend , ja :)

Quotealso geht das, auch wenn man entsprechend in LAN und WAN die Regeln einfügt und Level1 dann nur bei WAN?

das verstehe ich nicht... was meinst Du?

QuoteWo hast du die Mailware her

Das weiß ich nicht mehr und es war auch nicht gewollt, ich hatte es nur wissentlich riskiert sowas einzufangen.
Aber selbst wenn... würde ich den Schrott nicht verbreiten ;)

Ich meine das die Rule direkt einem Interface zugewiesen wird, siehe hier -> https://docs.opnsense.org/manual/how-tos/edrop.html

QuoteGo to Firewall ‣ Rules Select the WAN tab and press the + icon in the lower right corner.

Kein Problem  ;D

Schöner Blogartikel. Vielen Dank.  :)
Kurze Frage: Darf ich den Link in der Fediverse verbreiten?

Klar darfst du den link teilen... Freut mich dass der Artikel gefällt :)

@nambis:
Firehol L1 wird (bei mir) ja nur auf dem WAN angewendet, die Regel könnte also auch direkt zum Interface, klar. Da der Rest aber auf mehrere Interfaces angewendet wird, habe ich alle bei floating drin, finde ich übersichtlicher und kommt mir auch nirgends in die Quere.

Quote from: tiermutter on May 21, 2022, 12:44:22 PM
Klar darfst du den link teilen... Freut mich dass der Artikel gefällt :)

@nambis:
Firehol L1 wird (bei mir) ja nur auf dem WAN angewendet, die Regel könnte also auch direkt zum Interface, klar. Da der Rest aber auf mehrere Interfaces angewendet wird, habe ich alle bei floating drin, finde ich übersichtlicher und kommt mir auch nirgends in die Quere.

Top Danke!