Hallo zusammen,
ich möchte kurz prüfen lassen, ob mein Ansatz grundsätzlich korrekt ist.
Ziel:
FireHOL-IP-Blocklisten (bzw. daraus erstellte Aliase) sollen zentral für ausgehenden Traffic blockiert werden, damit interne Clients keine Verbindungen zu bekannten bösartigen IPs aufbauen können.
Aktueller Aufbau
Alias
Typ: Host(s)
Beispielname: BLOCK_IPS
Inhalt:
FireHOL-IP-Blocklisten + Manuelle IP Blockierung
Globale Firewall-Regel
Aktion: Block
Schnell: aktiv
Schnittstellen: LAN, OPT1, OPT2
Richtung: out
IP-Version: IPv4
Protokoll: any
Quelle:
LAN Netzwerk
OPT1 Netzwerk
OPT2 Netzwerk
Ziel: Alias (FireHOL / BLOCK_IPS)
Zielport: beliebig
Logging: aktiviert
Meine Frage
👉 Ist das der korrekte Weg, um FireHOL-IP-Blocklisten für Outbound-Traffic umzusetzen?
Hallo,
nicht ganz.
Die Richtung sollte "in" sein.
Die Richtung ist immer aus Sicht der Firewall zu sehen und auf den gesetzten Schnittstellen möchtest eingehenden Traffic mit Ziel Blockliste blockieren.
Hallo,
danke für den Hinweis, verstanden 👍
Mir ist bewusst, dass die Richtung immer aus Sicht der Firewall zu sehen ist.
Aktuell blockiere ich die IPs aus der FireHOL-Blockliste bereits am WAN für eingehenden Traffic (in).
Zusätzlich möchte ich ausgehenden Traffic (out) blockieren, damit interne Clients keine Verbindungen zu IPs aus der Blockliste aufbauen können, falls diese z. B. durch DNS, bestehende Sessions oder andere Wege erreicht werden.
Ziel ist also:
WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren
LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren
Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.
Quote from: juergen2025 on Today at 03:03:07 PMZiel ist also:
WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren
LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren
Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.
Auf den internen Interfaces müsste dafür die Richtung "in" sein, eben aus Sicht der Firewall.
Alternativ kannst du die Regel für Ziel = Blockliste am WAN erstellen, dann mit Richtung "out" oder "any". Falls du das loggen möchtest, würdest du aber hier nur die WAN-IP als Quelle sehen.
Grüße
Quote from: juergen2025 on Today at 03:03:07 PMdanke für den Hinweis, verstanden 👍
Nein, Du hast es nicht verstanden. Man verwendet so gut wie nie ,,out" Regeln.
Der ausgehende Verkehr, den Du blockieren willst, kommt zuerst über das LAN Interface zur Firewall herein (,,in") und dort solltest Du ihn blockieren.