OPNsense Forum

International Forums => German - Deutsch => Topic started by: jacolani on January 07, 2019, 10:51:41 pm

Title: Spamhaus URLs
Post by: jacolani on January 07, 2019, 10:51:41 pm

Hallo,
habe mir ein alias für die spamhaus.org drop liste erstellt, und die FW Regel dazu. Nun habe ich mir den Live View unter de Firewall> Protokolldatein angeschaut, während ich eine IP in den Browser setzte. Die Seite, falls es eine ist, kann ja auch ein anderer Dienst sein, wird zwar nicht aufgereufen, ABER ich sehe nichts davon im Live View?
Mache ich da was falsch?
Danke

Title: Re: Spamhaus URLs
Post by: Mks on January 08, 2019, 05:06:14 am

Hi

Du musst das Logging für jede Rule explizit aktivieren.

Fg

Title: Re: Spamhaus URLs
Post by: jacolani on January 08, 2019, 04:17:39 pm

Ja habe ich danach entdeckt, danke.

Da gibt es nun ein kleines Problem. Wenn ich es nun so mache, das die Opnsense als Exposed Host in der FritzBox eingestellt wird, dann erhalte ich am WAN eine RFC1918 Adresse, ok. D.h. Bogon Netze darf ich dann erst mal nicht blocken. Wenn ich nun die Spamliste aktiviere, ind dem sich die IPs blocke, da sind auch RFC1918 Adressen drin! D.h. ich müsste zusätzlich eine Regel für jedes Interfaces erstellen, das ich vom z.b. LAN1 zu (z.B.192.168.20.1) erlaube. Ist das so Richtig, oder gibt es bessere Vorschläge?
 

Title: Re: Spamhaus URLs
Post by: Mks on January 08, 2019, 07:45:46 pm

Hi,

Zur Fritzbox kann ich nichts sagen.

Quote

erhalte ich am WAN eine RFC1918 Adresse, ok. D.h. Bogon Netze darf ich dann erst mal nicht blocken.

Warum nicht? Am WAN Interface eingehend sollten nur Internet Adressen kommen, von daher kannst du das drin lassen.

Quote

Wenn ich nun die Spamliste aktiviere, ind dem sich die IPs blocke, da sind auch RFC1918 Adressen drin!

Nein darin sind keine RFC1918 Adressen. Die werden ja im Internet nicht geroutet.

Um Im Internet zu surfen und dennoch "böse" IPs zu block legst du im LAN Interface folgende Regel an:

Proto           Action             Source                          Port          Destination           Port
IPv4            Allow              LAN net                        *              LAN_address            53      //DNS
IPv4+IPv6   Block              LAN net                        *              <Alias Blocklist>        *        // Blockliste
IPv4            Allow              LAN net                        *              !RFC1918                  *       //Internet

Zum Verständnis, wenn bei Opnsense von "incoming traffic" gesprochen wird, dann ist jener Netzwerkverkehr gemeint der am Interface aus dem angeschlossenen Subnetz ankommt (incoming am Interface).

Übersetzt auf die Regel oben, jedes Paket was vom Subnetz des LAN Interface ans Interface ankommt (eingeht am Interface) wird gegen die Regeln oben geprüft. Gibt es keine Regel wird das Paket verworfen.

lg

Title: Re: Spamhaus URLs
Post by: jacolani on January 08, 2019, 08:49:45 pm

Quote

Nein darin sind keine RFC1918 Adressen. Die werden ja im Internet nicht geroutet.

Folgende IP befindet sich in der Liste:
192.168.0.0/16 und das ist doch eine RFC1918, oder nicht?

Und mein WAN Interface der opnsense ist 192.168.20.1. Funktioniert dann deine Regel trotzdem?
Ich bin nämlich nicht ins Internet gekommen, erst als ich die 192.168.20.1 zusätlzich erlaubt habe.

Title: Re: Spamhaus URLs
Post by: jacolani on January 08, 2019, 09:04:53 pm

Nochmal eine zusätzlich Frage dazu:

beim IDS gibt es ja auch Sperrlisten, wie Abuse.ch etc. Jetzt frag ich mich ob die dadurch nicht doppelt vorkommen in der spamhaus Liste. Und muss ich alle Listen im IDS Dwonloaden, einzeln anklicken, und dann erst auf DROP setzen? Gibt es da keine Möglichkeit alle auf ein mal zu dropen?

Title: Re: Spamhaus URLs
Post by: Mks on January 08, 2019, 09:16:07 pm

Hi,

also in https://www.spamhaus.org/drop/drop.txt finde ich die nicht.

lg

Title: Re: Spamhaus URLs
Post by: Mks on January 08, 2019, 09:24:34 pm

Hi,
mein WAN Interface hier hat auch eine private Adresse.

Der Weg des Paketes sollte dann so sein.
Host sendet Paket auf Subnetz Default GW -> LAN Interface Firewall -> Firewall Prüfung -> Routing auf Default GW -> Firtzbox -> Internet

Ferndiagnosen sind natürlich immer schwierig sollte aber funktionieren.

Quote

beim IDS gibt es ja auch Sperrlisten

Schalt mal das IDS ab und versuche mal die Standardfunktionalität ordentlich zum Laufen zu bringen so dass du es auch nachvollziehen kann warum es funktioniert. Dann kannst du immer noch erweiterte Funktionalitäten aktivieren.
Schritt für Schritt.

lg

Title: Re: Spamhaus URLs
Post by: jacolani on January 09, 2019, 11:07:22 am

Quote from: Mks on January 08, 2019, 09:16:07 pm

Hi,
also in https://www.spamhaus.org/drop/drop.txt finde ich die nicht.
lg

Sorry.
Stimmt, die ist nämlich hier drin: https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level1.netset

Kannst du es mal mti dieser hier probieren?

Quote

Schritt für Schritt.

OK finde ich gut.

Title: Re: Spamhaus URLs
Post by: jacolani on January 09, 2019, 02:49:28 pm

Also mit Spamhaus habe ich es nochmla getestet, ja da ist es kein Problem.

Das läuft soweit. Kommen wir nun zum IDS/IPS.
Sollte man da nur das WAN oder reicht erst mal nur das LAN?
Welche Regeln in der Suricat Standardliste würdet Ihr am Anfang auf jeden Fall empfehlen.
Ich habe ein ALIX mit 4GB Ram, ist da überhaupt Sinnvoll ein IDS zu aktivieren?