Hallo,
im Normalfall sollte der Zugriff auf 443 doch immer von einem High-Port kommen oder? Wenn der Zugriff vom Port 22 kommt ist doch davon auszugehen, dass da eher ein Scan oder sonstwas gemacht wird oder sehe ich da was Falsch?
Dann könnte man doch in den eingehenden Regeln auch einen Quellport zur Bedingungen machen oder ist das nicht sinnvoll?
Kann man, aber wozu? Wenn deine OPNSense offen im Netz hängt, kann doch sowieso jeder prinzipiell das WebUI erreichen.
Mir geht es nicht um das Web UI der OPNSense, sondern den Zugriff auf meine öffentlichen Seiten (Services) soweit wie möglich einzuschränken. Sprich eine Portweiterleitung nur aus den Regionen und die Quellen zulassen die notwendig sind bzw. umgekehrt alle aussperren, die da eh nix vernünftiges zu suchen haben.
Dann würde ich ganz simpel erst mal den Blacklisting-Ansatz fahren. Du kannst in OPNSense Aliase erstellen, die Blocklisten von URLs beziehen.
GeoIP: https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
Spamhaus DROP: https://docs.opnsense.org/manual/how-tos/drop.html
Ich habe nebenbei noch weitere Blocklisten abonniert:
firehol_level1: https://iplists.firehol.org/?ipset=firehol_level1
abuseipdb-s100-3d: https://github.com/borestad/blocklist-abuseipdb/tree/main
Damit wirst du schon mal viele Bots los.
Du kannst dir auch nen Honeypot hinstellen und damit deinen eigenen Threat Feed befüllen. Mache ich so auf meinem Hetzner Server https://github.com/r-smith/deceptifeed
Und natürlich gibt es auch noch CrowdSec https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/
Danke die Themen habe ich schon am Laufen und wollte die Einschränkung des Quellports Ontop machen.
Lediglich die abuseipdb kannte ich noch nicht und werde ich mir gleich mal anschauen.
Danke.
Kannst du ja machen. Eingehende Verbindungen sollten nur von Ephemeral Ports kommen. Leg dir dafür einen Alias an und blockiere alle Verbindungen, die NICHT von diesen Source Ports kommen.
Danke, genau so habe ich es gemacht und sieht gut aus.