Hallo zusammen,
ich nutze OPNsense momentan, um ein Testnetzwerk vom Intranet zu trennen.
Momentan hadere ich mit der erfolgreichen Konfiguration von IDS/IPS/Suricata, speziell scheitert es schon am Test mit Eicar in der unverschlüsselten Variante, also HTTP.
Meine Konfiguration für IDS/IPS/Suricata sieht wie folgt aus:
- Enabled √
- IPS mode √
- Interfaces LAN & WAN
- in Home networks sind WAN und LAN erfasst
Die Regel "OPNsense-App-detect/test" ist enabled und heruntergeladen.
In den Rules ist die Regel opnsense.test.rules auch mit der Standard-Action "Alert" enabled.
Eine Policy für diese Regel mit Action "Alert" & "Drop" sowie New Action "Drop" ist erstellt und angewendet.
Mache ich aus dem Testnetzwerk einen "curl http://pkg.opnsense.org/test/eicar.com.txt", geht das problemlos durch und ich sehe das unter den Alerts, leider mit "Action: Allowed" - trotz der aktiven Policy, die aus "Alert" ein "Drop" machen sollte.
Ändere ich per Hand die Testregel auf "Drop", dann wird auch sofort gedropt - selbst ohne Policy.
Bin ich irgendwo falsch abgebogen, übersehe ich die ganze Zeit etwas?
Vielen Dank für jeden Denkanstoß.