OPNsense Forum

International Forums => German - Deutsch => Topic started by: jinn on January 16, 2019, 02:30:28 pm

Title: externe Zugriff im Log immer über die OPNsense
Post by: jinn on January 16, 2019, 02:30:28 pm

Hallo zusammen,

im Log ist uns heute etwas merkwürdiges aufgefallen, Filtern wir nach unseren DHCP IP Adressen sehen wir quasi nur geblockte Verbindungen die per default deny rule geblockt werden.

Filter ich jetzt nach meiner internen IP habe ich quasi das gleiche Bild (mit ausnahme der anti-lockout rule).
Erlaubte Verbindungen werden uns immer nur mit der Source des der default Gateway IP angezeigt.

Daher ist es z.B. nicht möglich im Log nachzuverfolgen, wohin Verbindungen aufgebaut werden.
Klassisches Beispiel: Ich ping heise.de an, filter nach meiner IP Adresse und sehe den PING nicht. Filter ich nach der IP von heise.de sehe ich die PINGs, mit unserer externen IP als Source.


Bei den Logfiles ist mir außerdem aufgefallen, dass eine bestimmte externe IP alle 10-40 Sekunden unterschiedlichste Ports in unserem System prüft. Mit abuseipdb.com war schnell rauszufinden, dass wir nicht das einzige Ziel sind.
Ich habe hierfür dann einen Alias "blocked-IPs" erstellt (Typ: Host(s) und die IP Adresse eingetragen
Danach in den Firewall Rules für das Interface "allWAN" folgende Regel erstellt:
Action: Block
Interface: allWAN
TCP: IPv4
Protocol: any
Source: blocked-IPs
Destination: any

Dennoch wird die Verbindung im Log nur von der "default deny rule" geblockt

Title: Re: externe Zugriff im Log immer über die OPNsense
Post by: chemlud on January 16, 2019, 03:10:19 pm

Um dazu etwas sagen zu können müsste man das ganze Regelwerk auf WAN und LAN kennen, insbesondere welche Regeln loggen und welche nicht...

Title: Re: externe Zugriff im Log immer über die OPNsense
Post by: jinn on January 17, 2019, 08:00:02 am

Quote from: chemlud on January 16, 2019, 03:10:19 pm

Um dazu etwas sagen zu können müsste man das ganze Regelwerk auf WAN und LAN kennen, insbesondere welche Regeln loggen und welche nicht...

dieser satz war entscheidend. wir haben natürlich bei keiner regel das logging aktiv gehabt  ::)
jetzt bekomme ich beim zugriff auf heise.de auch mehrere IP Adressen zurück die von meiner lokalen IP als Source angezeigt werden! Vielen dank!

Spricht etwas dagegen bei allen Regeln das Logging zu aktivieren, oder sollte man dies wirklich nur für analyse zwecke machen?

Title: Re: externe Zugriff im Log immer über die OPNsense
Post by: chemlud on January 17, 2019, 09:47:01 am

Da keiner deine Installation (Speicherplatz) und deinen Traffic kennt, kann niemand dir sagen, wie schnell dein Speicher volläuft :-D