Hallo,
ich habe FireHol L2 an LAN in Destination und WAN in Source im Betrieb. (Nach Anleitung)
wobei ich habe mir auch die Mühe gegeben die gesperrten Adressen von FireHol mal durch https://ipwhoisinfo.com/ip/
aufschlüsseln lassen....
Teilweise auch Google und so manches imho normales Unternehmen drin?
Was hat FireHol an WAN IN Zutun? kämen etwa die Adressen in mein LAN? ist es nicht so das die Sense alles Blockt was ich nicht vom LAN her Aufrufe?
Quote from: Zapad on October 09, 2024, 12:31:59 PM
Was hat FireHol an WAN IN Zutun? kämen etwa die Adressen in mein LAN? ist es nicht so das die Sense alles Blockt was ich nicht vom LAN her Aufrufe?
Woher soll jemand außer dir wissen, weshalb du die Blockliste eingehend auf WAN eingerichtet hast?
Ja, per Default ist alles eingehend sowieso geblockt. Verstehe daher auch viele Anfragen der Art "wie blocke ich Port Scans?" nur teilweise. Sollen die Leute doch scannen so viel sie wollen - kommt nur raus, dass alles zu ist.
Aber ... manche haben evtl. öffentlich erreichbare Dienste. Web-Anwendungen wie eine Nextcloud oder selbst nur das VPN. Ist ja nicht nötig, dass irgendwelche koreanischen Gymnasien auf diesen Ports rumtrommeln (war früher mal eine häufige Quelle von Botnetzen - weiß nicht, was gerade so angesagt ist).
Also wenn du wirklich nichts eingehend offen hast, kannst du dir m.E. jedwede Blockliste, IDS & Co. eingehend sparen.
Ich hab die erwähnte Nextcloud und noch anderes, halte aber nichts von Inhalte scannenden IDS. Daher verwende ich Crowdsec und gucke sonst, dass meine Anwendungen immer aktuell und dicht sind.
HTH,
Patrick
Hinter einer IP können ja viele unterschiedliche Dienste / Webseiten / Unternehmen sitzen... wenn einer davon als böse eingestuft ist, dann wird die IP gelistet und der gesamte Server blockiert.
Siehe Firehol L3, da ist immer wieder auch github drin und das Thema landet dann im Forum.
Wenn Du ohnehin ALLES eingehend geblockt hast, dann braucht da natürlich keine Blockliste unnötigt hinterstehen... wenn Du aber den ein oder anderen Service freigibst, und sei es nur VPN, dann hast Du dadurch das Stückchen Sicherheit, dass von den bösen IPs niemand den freigegebenen Dienst angreifen kann.
ok, das heißt wenn ich zb. einen Port für ein spiel öffne macht wiederum Sperrliste Sinn, korrekt?
Für mich schon, ja.
An der Stelle eine andere Frage.
Wenn ich WAN mit einer Denied IN Regel abschließe, erscheinen dann im Protokoll zusätzliche
Adressen die geblockt werden, ich kann aber Problemlos weiter alles nutzen/surfen.
Ist die Manuelle Block Regel "schärfer" als Default Block? oder was hat es an sich?
Dem kann ich nicht recht folgen... wie sehen die Regeln denn dann aus und was steht dann zusätzlich im Log?
Und was meinst Du mit normal weiter nutzen?
Beispiel:
Lan Regel: Lan.net> jeglich port 443 (oder Reihe anderer) tcp/udp allow
Wan IP4/6 Any in denied.
Ergebnis, ich kann Surfen, aber es wird protokolliert.