OPNsense Forum
International Forums => German - Deutsch => Topic started by: ArminF on February 08, 2020, 01:00:59 pm
-
Aloha,
ich hab den Transparenten Proxy von Squid eingerichtet und die NAT/Firewall Rule gesetzt.
NAT
LAN TCP LAN net * * 80 (HTTP) 127.0.0.1 3128
FW (LAN)
IPv4 TCP LAN net * 127.0.0.1 3128 * *
Derzeit hab ich noch die Standard LAN to ANY Rule.
Diese würd ich gerne gegen etwas Sinnvollen ersetzen.
LAN TCP LAN net * * 80/443
Wenn ich diese Rule aktiviere und die Default abschalten komme ich nicht mehr ins Internet.
DNS geht also der Browser sowie Curl lösen die Hosts auf aber die connection kommt nicht zu stande.
Könnt Ihr mir bitte sagen wo ich hier den Denkefehler habe?
Danke
a
UPDATE:
OK, mea maxima culpa!!
Ich hatte die Direction im Lan Segment auf OUT anstatt IN
-
Kleines Update meinerseits
HTTPS URL Scanning
NAT
LAN TCP LAN net * * 443 (HTTPS) 127.0.0.1 3129
FW (LAN)
IPv4 TCP LAN net * 127.0.0.1 3129 * *
Und auf dem Proxy eine CA einrichten.
Danach jedoch LOG SNI ONLY aktivieren.
Das scannt dann "nur" die URLs aber nicht den traffc.
Damit lassen sich aber die ADS blocker per ACL Liste entfernen.
-
Moin,
mal so als Alternative zum Proxy: https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Ist deutlich ressourcenschonender als ein Proxy. ;)
Gruß
Dirk
-
Moin,
mal so als Alternative zum Proxy: https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Ist deutlich ressourcenschonender als ein Proxy. ;)
Gruß
Dirk
mennoo.... monstermania musst Du mich immer "wuschig" machen....
Und NU? jetzt muss ich wohl
-
Moin,
mal so als Alternative zum Proxy: https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Ist deutlich ressourcenschonender als ein Proxy. ;)
Gruß
Dirk
Dirk, einen hab ich noch.
So wie ich das verstehe schalte ich damit Unbound als DNS aus da ich ihn ja nicht mehr bräuchte.
Aber was mach ich dann mit meinen Static Entries/Overrides und dem DHCP?
Danke
-
Moin,
mal so als Alternative zum Proxy: https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Ist deutlich ressourcenschonender als ein Proxy. ;)
Gruß
Dirk
Dirk,
hab das noch gefunden "pkg install os-unbound-plus-devel" via console und dort nun den DNSLB am laufen.
mal sehen ob das geht...
armin
-
mennoo.... monstermania musst Du mich immer "wuschig" machen....
Sorry, war nicht meine Absicht! ;)
Aber ich sehe die Bedeutung von Proxy's durch den großflächigen Einsatz von Verschlüsselung immer weiter sinken.
Und DNS-Blocking braucht halt auch viel weniger Ressourcen! Ja, AV-Scanning geht nur mit dem Proxy. Aber mal ehrlich. So ein clam-AV ist m.E. auch nicht als professioneller AV-Scanner geeignet. Bei meinem alten AG hatten wir neben dem clam-AV auch ein kommerzielles Produkt im Einsatz (ich glaube was von Commvault?). Der clam-av hat eigentlich alle aktuellen (Makro)Viren nicht erkannt.
Ja, das DNSBL-Unbound-Plugin ist wohl noch nicht ganz fertig...
Gruß
Dirk
-
Moin Dirk,
kein Problem. Never try never know is meine Devise!
Finde diese OPNsense interessant und deren Einsatzmöglichkeiten breit gefächert.
JA. Proxy zum scannen wir schwierig wenn man kein offloading macht wie bei ner WAF.
URI oder Signaturen könnte man noch einbauen. Oder caching von updates. Bin noch hin- und hergerissen ob ich den Squid wieder abschalten wenn der plugin für Unbound läuft. Bei Bind hab ich keine Möglichkeit gefunden meine 3 lokalen DNS Einträge weiter nutzen zu können.
Ja zum zweiten. Hab gestern mit dem ClamAV noch herumgespielt aber danach hab ich ihn deinstalliert als ich das DNSBL am laufen hatte. Dazu auch die ganzen ACLs im Squid rausgeschmissen.
Unbound DNSBL muss ich noch genauer prüfen da ich seit gestern keine google search mehr machen kann... grummel... Aber ich hab auch die Defaults am Unbound geändert. Naja bisher keinen Anruf von Frauchen das Ihr VPN nicht mehr geht. Glück gehabt.
Im Büro werd ich nächste Woche mal mein LAB umbauen und die OPNSense gegen die Sophos UTM ersetzen.
Da bin ich mal gespannt.
Im Vergleich zur Sophos XG welche ich vorher zuhause hatte fehlt mir das Log und die App Control von Sophos auf der OPNSense. Sensei hat mein System so eingefroren das nix mehr ging.
Wobei man halt bei der OPNSense andere Sachen wie die ACL/DNSBL hat wo die XG wiederrum nicht konnte.
Naja, man kann ja nicht immer gewinnen :)
Also Hau Rein und geniess den Tag
Armin
-
Im Vergleich zur Sophos XG welche ich vorher zuhause hatte fehlt mir das Log und die App Control von Sophos auf der OPNSense. Sensei hat mein System so eingefroren das nix mehr ging.
Hab früher auch Astaro ähh Sophos ;) gemacht.
Die XG scheint ja bei vielen Kunden eher negativ anzukommen, wenn ich so bei Ex-Kollegen mal reinhöre.
Das gesamte Reporting ist halt bei OPNsense/pfsense nicht allzu ausgeprägt. Genau dafür zahlt man eben bei den kommerziellen Anbietern das Geld. Zu Hause kann ich darauf verzichten, aber im Unternehmenseinsatz ist es natürlich teilweise wichtig nachweisen zu können, wann sich z.B. welcher Mitarbeiter genau per VPN eingewählt hat. Und manchmal auch noch Monate später!