OPNsense Forum
International Forums => German - Deutsch => Topic started by: Burschi on May 22, 2019, 10:33:16 am
-
Hallo forum,
wieder einmal habe ich eine Frage, und es sieht so aus, das mein Wissen noch nicht einmal ausreicht Tante Google die richtigen Fragen zu stellen. Also versuche ich es mal hier ;):
Ich beschäftige mich gerade mit IP Filterlisten, und bin in dem Zusammenhang auf zwei Sachen gestossen die ich noch nicht richtig einordnen kann (oder nicht finde...):
State table (size):
Soweit ich das verstehe sind das die aktiven, von der Firewall kontrollierten Verbindungen. In dem Zusammenhang macht das dann auch Sinn, das ich mit meinem Heimnetzwerk auf nur sehr bescheidene Zahlen komme (<1000). Diese Zahl scheint weniger von der Anzahl der vorhandenen (importierten) Regeln/IPs abzuhängen als vielmehr von der Anzahl der User/Verbindungen. Diesen Eintrag finde ich im Dashboard.
Firewall (Maximum) Table Entries:
So, hier sind dann alle Einträge aufgeführt, für jede IP aus der/den (Alias-)Liste/n einer. Das heißt hier sollte ich irgend was in der Summe der Einzellisten sehen. Finde ich aber nicht... Des weiteren ist die Summe der Regeln im Vergleich zu den Importierten IP sehr gering.
Scheint also das ich was wichtiges nicht verstanden habe, und bitte um Aufklärung (mit dem Hintergrund das ich keine Firma sondern "nur" mein Heim zu versorgen habe)?
[tl;dr]
Die Frage ist also in der Richtung: "Was haben die Filterlisten/Aliaslisten/Anzahl der Einzeleinträge mit den unter OPNsense angezeigten (oder auch nicht...) state tables und table entries zu tun?"
Danke,
Burschi
-
Zu blöde, einfache oder schwere Frage? Bin über jeden Hinweis dankbar.
-
Zu ungeduldig vermute ich. Nach einem Tag schon die Glocke rühren ist ein bisschen schlechter Stil was Foren angeht.
Ich muss gestehen, dass ich auch deine Frage nicht ganz verstehe. Das sind zwar grundverschiedene Werte und ich erkenne da gerade nicht, wo dein Verständnisproblem ist. Vielleicht kannst du es nochmal kurz klarstellen, was du zu den beiden Werten wissen willst?
-
Zu ungeduldig - kann sein. Ich habe meine Antwort auch so gemeint wie ich geschrieben habe - vielleicht habe ich die Frage im ersten Post falsch gestellt.
Schlechter Stil/Glocke rühren - naja, schlechter Stil ist meiner Meinung nach noch ein Stück was anderes, und ich habe glaube ich nichts ungebührliches geschrieben.
Zur eigentlichen Frage - Mein Verständnisproblem ist wohl ein Grundsätzliches. In verschiedenen Posts habe ich in Zusammenhang mit IP-Listen gelesen, das die Anzahl der enthaltenen IPs sich auf die table entries auswirkt. Jede IP einen Eintrag so dachte ich. Jetzt habe ich verschiedene Listen angewendet, und lt. log wirken diese auch, aber ich habe keine Möglichkeit gefunden zu kontrollieren wieviele table entries gesamt vorhanden sind.
-
> naja, schlechter Stil ist meiner Meinung nach noch ein Stück was anderes
Das war/ist lediglich eine allgemeine Betrachtung. In Foren oder Diskussionsgruppen ist es häufiger so, dass es off-Zeiten gibt, wo wenig los ist. Zumal hier niemand "offizieller" Support ist. Dazu ist es ein Sprachunterforum, die Menge an Leuten also nochmals begrenzt. Darum ist Nachhaken am direkt schon am nächsten Tag weil keiner was geantwortet hat, eben gerne mal negativ konnotiert. Das war der einzige Hinweis. Vielleicht der Sache mal Zeit geben ;)
> Jede IP einen Eintrag so dachte ich. Jetzt habe ich verschiedene Listen angewendet, und lt. log wirken diese auch, aber ich habe keine Möglichkeit gefunden zu kontrollieren wieviele table entries gesamt vorhanden sind.
OK Interesse mal Beiseite, aber wozu spielt das jetzt eine großartige zahlentechnische Rolle? Oder welche Relevanz hat das gerade? Hast du die Befürchtung, dass deine Einstellungen zu niedrig sind? Dass irgendwelche Werte überlaufen?
Nicht alles was ein Alias ist, muss gleich eine Tabelle sein. Dazu muss man sich ein wenig tiefergehend mit PF an sich beschäftigen. Das kommt natürlich auch drauf an, wie OPNsense das selbst intern löst, aber rein technisch ist ein Alias, selbst mit mehreren Einträgen nicht unbedingt zwingend gleich eine Tabelle. Man kann sie als Tabelle anlegen, muss man jedoch nicht. Das hat Auswirkungen darauf, ob bspw. eine Regel dann intern in PF mehrfach erstellt wird (Alias mit 2 Einträgen bspw. erzeugt zwei einzelne Regeln, Tabelle mit zwei Einträgen eine Regel die gegen die Tabelle abgeglichen wird).
Dazu kommen URL Listen und andere interne Jobs wie bspw. die Bogon Listen die aktualisiert werden und entsprechend große Listen sind. Wir hatten das bei der pfSense letztes Jahr, dass bspw. die Bogonv6 Liste so groß wurde, dass die default eingestellten 200.000 Table Entries nicht mehr gereicht haben. Da beim Update kurzzeitig die Tabellen mal doppelt im RAM liegen und die Bogon Listen dann mal Nahe an die 100k Einträge kamen, konnte das dann nachts überlaufen. Darum neues Default mit mind. 400k Einträgen in der Liste.
Das sind aber Table entries. Die State Table ist da was völlig anderes. Da haben die PF-"Tables" überhaupt nichts mit zu tun. Es ist einfach nur eine Tabelle an Verbindungen, die momentan aktiv sind und gehalten werden mit Angabe der Quelle, des Ziels und ggf. noch der genatteten Adresse sowie den Ports. Gegen diese Liste wird ggf. ein Paket abgeglichen, ob es durchgelassen wird (stateful firewalling) weil es zur Verbindung gehört oder ob man die Firewall Regeln durchlaufen muss. Passt der State, gehts direkt durch. Wenn nicht, läuft es durch die PF Regeln.
Grüße Jens