OPNsense Forum
International Forums => German - Deutsch => Topic started by: Marcel_75 on September 18, 2019, 02:18:22 pm
-
Hallo zusammen,
habe mich jetzt mal mit dem Bereich "Aliases" in der Firewall auseinandergesetzt und dort 2x GeoIP-Bereiche (Russland und China) sowie FireHOL_Level_1 und Spamhaus DROP und Spamhaus EDROP definiert.
Die GeoIP-Aliase habe ich mir dann im Bereich "Floating" definiert (siehe Screenshot_01).
FireHOL und Spamhaus wiederum habe ich im Bereich "WAN" angelegt (auch dazu ein Screenshot_02).
Kann mir jemand erklären, was es mit diesem "Floating" eigentlich genau auf sich hat?
Bisher hatte ich Firewall-Regeln eigentlich immer nur im Bereich "LAN", "WAN" oder "VPN" definiert – "Floating" scheint neu zu sein (oder ist mir vorher einfach nie aufgefallen)?
Die GeoIP-Definitionen habe ich dort (in "Floating") reingepackt, weil ich das so ein einer Anleitung gesehen hatte …
Ich frage mich jetzt natürlich, ob ich die FireHOL- und Spamhaus-Regeln vllt. auch dort aufnehmen sollte statt im Bereich "WAN"? Oder macht das keinen Unterschied?
Danke im Voraus für Eure Unterstützung. :)
-
In Floating kannst du alle Interfaces auswählen, wenn du z.B. 20 DMZ Interfaces hast und alle sollen NTP dürfen, dann kannst du in Floating eine Regel einrichten die für alle gilt anstatt in jeden Tab rein und je eine Regel anzulegen.
Übrigens würde ich Fire_HOL3 nehmen, 1 ist schon sehr paranoid und blockt alle privaten IPs. Wenn das in Floating drin ist wird z.B. VPN Verkehr mit Sicherheit geblockt sein.
-
Ok, verstehe, Danke schon mal für die Info.
Kann FireHOL_Level_1 natürlich gegen FireHOL_Level_3 austauschen – aber welche Adresse genau soll ich dafür eigentlich eintragen beim Alias?
Hier findet man ja nur allgemeine Infos dazu: http://iplists.firehol.org/?ipset=firehol_level3
Für Level 1 hatte ich diese Adresse hinterlegt:
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset
Also ist wahrscheinlich diese hier i.O. für Level 3?
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset
Und noch eine Frage: Soll ich Level 3 dann besser auch so wie meine GeoIP-Aliase im Bereich "Floating" aufnehmen und dort 1x für in und 1x für out blocken? Macht das Sinn?
PS: Außerdem frage ich mich, ob es eine empfehlenswerte Ad- und Tracking-Blocklist gibt, die man ebenfalls als Alias hinterlegen könnte?
Für PiHole habe ich z.B. diese Empfehlung gefunden, bin mir aber unsicher, ob man davon etwas gebrauchen bzw. auch 1:1 "anzapfen" sollte?
https://discourse.pi-hole.net/t/update-the-best-blocking-lists-for-the-pi-hole-alternative-dns-servers-2019/13620
-
AdBlock mit dnscrypt-proxy Plugin. Für Unbound dauerts noch paar Wochen. Firehol Rules reicht i.d.r. inbound auf LAN und Destination firehol.
-
Ok, d.h. im Bereich "Floating" und auch beim "WAN" benötige ich gar keine Regel für "FireHOL Level 3", sondern wirklich nur im Bereich "LAN"?
So sieht das jetzt aktuell aus bei mir – das ist also korrekt so? (siehe Screenshot_03)
Ich frage so blöd, da ich annahm, man wolle diese IPs (also von der "FireHOL Level 3"-Liste) eigentlich schon auf der WAN-Schnittstelle blockieren?
Bzw. im Bereich "Floating" als Source "FireHOL Level 3" und Destination "WAN address" blocken?
Wahrscheinlich habe ich da einen Denkfehler und/oder missverstehe etwas?
Danke für weitere Erläuterung (und Eure Geduld). ;)
-
Für mich wäre das Schlimmste wenn ein interner Host ZU diesen IPs eine Verbindung aufbaut. Es schadet natürlich nicht diese auch am WAN inbound zu blocken wenn da bekannte Port Scanner dabei sind