Titel: Suricata blockiert trotz Drop-Policy nicht – Alarmmeldung zeigt ,,allowed" (OPNsense 27.7)
Beitrag:
Hallo zusammen,
ich habe ein Problem mit Suricata unter OPNsense 27.7, das ich nicht nachvollziehen kann.
Folgendes ist eingerichtet:
IDS/IPS ist aktiviert
Die richtige Netzwerkschnittstelle ist ausgewählt
Die Suricata-Policy ist gesetzt.
Die Standardaktion ist ,,Alert"
Ich habe bei mehreren Regeln die Aktion manuell auf ,,Verwerfen (Drop)" gestellt
Die Regeln sind aktiv
Außerdem habe ich folgende Regelwerke aktiviert (siehe Screenshot):
botcc.portgrouped.rules
botcc.rules
ciarmy.rules
compromised.rules
drop.rules
emerging-* (mehrere)
Trotz dieser Einstellungen zeigt Suricata bei einem auslösenden Ereignis nur einen Alert an – aber keine Blockierung. In den Logs unter Protokolle → Suricata → Alerts steht nur allowed. Die Verbindung wird also nicht unterbrochen.
Meine Fragen:
Warum greift die Drop-Regel nicht, obwohl sie aktiv und richtig gesetzt ist?
Muss man zusätzlich noch etwas global aktivieren, damit ,,Drop" überhaupt angewendet wird?
Funktionieren Drops nur auf bestimmten Schnittstellen (z. B. nur WAN oder nur intern)?
Gibt es irgendwo Logs oder eine Debug-Ansicht, die zeigt, ob Suricata versucht zu blockieren?
Ich wäre sehr dankbar für Hinweise oder eine kurze Erklärung, falls ich etwas übersehen habe.
Viele Grüße