Servus,
bin gerade beim Feudeln- Quasi am Packet-Flusensieb reinigen.
Unter anderem möchte ich, für mich sinnlose, Alerts deaktivieren.
(...was bei Suricata übrigens sehr unspassig ist)
Beim Firewall-Log verstehe ich allerdings etwas nicht so ganz,
wie zum Beispiel:
GUI
>Firewall
>>Log Files
>>>Normal View
Tabellenspalte "Rule":
Eintrag zum Beispiel "(@73)"
Mit der Regel "73" kann ich irgendwie wenig anfangen.
Wie kann ich nachvollziehen, welche Regel dies ist?
thx&
greets
Rainer
Servus Rainer,
Über Firewall: Diagnose: pfInfo: Tab "Rules".
Grüsse
Franco
THX Franco
Jetzt bekommt die "description" der Rules auch einen richtigen Sinn ;-)
Aufgefallen ist mir Eine, die munter vor sich hin logged und blocked, ich aber immer noch nicht zuordenen kann.
(x.x.x.x ist hier die IP vom Gateway an dem igb0 x.x.x.x+1 (WAN) hängt)
@71 pass out log route-to (igb0 x.x.x.x) inet from (igb0:1) to ! (igb0:network:1) flags S/SA keep state allow-opts label "let out anything from firewall host itself"
Wo könnt' ich diese Regel denn in der GUI finden, bzw. wo kann ich Die bearbeiten?
[hint: surpriseCATA spielt nach einem update mal wieder Streiche]
greets
Rainer
Hi Rainer,
Das ist noch ne 17.1.x? Die Regel kann nur rausschieben, nicht blocken. Wird intern generiert. Meistens von einem internen Service wie dem Proxy oder NTP usw. genutzt. Suricata scheint es nicht zu sein. oO
Grüsse
Franco
Servus Franco,
yepp, is die 17.1.11.
Das sind fast nur DNS/53 er.
-Du schriebst rausschieben-
Also werden DNS requests nicht rausgeschoben.
Der NTP macht keine Mucken und sagt auch nix... scheidet glaube ich aus.
Hmm, wenn ich _nur_ IDS abklemme läufts, wesshalb ich auf suricata kam.
Dort steht aber nix im log ;-/
Aber ich seh schon... Meister Reineke first ;-)
Q:
#1 consolen update?
#2 wenn gemacht, wo soll ich deiner Meinung weitersuchen?
pfiat di
Rainer
Oha, das klingt doch ganz nach dem hier, aber für 17.7 gemeldet: https://forum.opnsense.org/index.php?topic=5605.0
Beruhigt mich etwas, dass es scheinbar an Suricata selbst liegt.
Vielleicht das Suricata 3.2.3 Update? Wir sollten die 3.2.2 probieren...
# pkg install -f https://ftp.yzu.edu.tw/opnsense/FreeBSD:11:amd64/17.1/MINT/17.1.9/OpenSSL/All/suricata-3.2.2.txz
Zurück zur 3.2.3 gehts mit:
# opnsense-revert suricata
4.0.0 ist auch "betroffen", vielleicht liegt es dann eher an den Rule-Sets...
Quote from: franco on August 01, 2017, 06:36:17 PM
Oha, das klingt doch ganz nach dem hier, aber für 17.7 gemeldet: https://forum.opnsense.org/index.php?topic=5605.0
Habs angelesen und yepp, same here.
Quote from: franco on August 01, 2017, 06:36:17 PM
Vielleicht das Suricata 3.2.3 Update? Wir sollten die 3.2.2 probieren...
ziemlich genau mit dem update zu 3.2.3 fings hier an.
Quote from: franco on August 01, 2017, 06:36:17 PM
# pkg install -f https://ftp.yzu.edu.tw/opnsense/FreeBSD:11:amd64/17.1/MINT/17.1.9/OpenSSL/All/suricata-3.2.2.txz
Da gibts kein 17.1.9/3.2.2 mehr. <grummel>
Bei den Franzosen "erscheint" unter "experimental" eine 3.2.2, aber nur als html.
Auf den anderen mirrors existiert der Baum gar nicht.
btw. Ecuador:
(Universidad Estatal de Bolívar) http://mirror.ueb.edu.ec/opnsense
->404(Universidad Técnica de Ambato)&(Escuela Politécnica Nacional) http://mirror.uta.edu.ec/opnsense/
->505=> need working link ;-)
greets
Rainer
# pkg add -f https://pkg.opnsense.org/snapshots/suricata-3.2.2.txz
:D
thx& [X]done
läuft bisher ohne murren, die FW-Logs bleiben ?-)
Anyway, subject accomplished.
THX
Rainer
Aufgetauchte Herausforderung mit suricata 3.2.3/ DNS klären wir zusammen hier->
https://forum.opnsense.org/index.php?topic=5605.0
top, danke Rainer!