OPNsense Forum
International Forums => German - Deutsch => Topic started by: freesbie on March 29, 2016, 01:40:12 pm
-
Hallo,
bestimmt habe ich irgendwo einen Hacken vergessen.
Ich habe das IDS mit IPS Mode an und ein User definded Rule in dem ich alls was nicht aus Deutschland kommt blocken möchte. Leider block es mir alles was rein kommt und alles was raus geht. ???
Disable ich die Regel dann können die Leute hinter der Firewall wieder surfen.
Verstehe ich das schon richtig, dass "Germany(Not) in Verbindung mit Direction=Source und Drop ankommende Verbindungen dropt die nicht aus Deutschland sind?
Alle Hardware CRC, TSO, LRO und VLAN checks sind aus und die Kiste ist frisch rebootet.
Noch jemand eine Idee?
Gruß,
Matthias
-
Hallo Matthias,
Ist das jetzt nur im Screenshot, oder ist die Regel nicht an? Trifft die Regel, wenn IPS aus ist (alert log)?
Gruss
Franco
-
Hallo Franco,
ja das was nur im Screenshot. IPS ist jetzt aus und die Regel aktiv. Im Log erscheint nun "allowed".
Ein Test mittels vpnbook.com auf einen hinter der Firewall liegenden Webserver geht ohne "Alert" durch"
-
Eigentlich ist es egal was ich einstelle in der Regel. Entweder blockt es alles wenn ich "Drop" sage oder im Log steht nur "allowed" wenn "Alert" einstellt ist. Aber noch nie sah ich ein Alert in den Logs..
Wäre toll wenn diese Funktion bei mir funktionieren würde. Ich habe keine Lust dem Webserver GeoBlock beizubringen :P
-
Naja, nach meinem Test mit nur "Germany (not)" muss ich sagen meine Monitor IP wird ignoriert und der Monitor vom System daher als "down" markiert. Schon mal ein guter Anfang...
DNS Anfragen werden auch nicht mehr beantwortet. Letzteres liegt daran, dass zumindest der DNS Forwarder von IP "0.0.0.0" nach draußen ruft und das dann den Block verursacht. Zumindest sagt das das Suricata-Log.
Zu guter letzt scheint "src" im "geoip" Kommando nur auf die aktuelle Paket-IP zu prüfen, das heißt spätestens im Rebound-Paket ist Schluss mit der Verbindung auch wenn sie aus Deutschland kam.
Das Geolocation macht genau was es soll, leider ist es so restriktiv umgesetzt unbrauchbar. Eher denkbar wäre das Blockieren von "bösen" Ländern. Whitelisting ist immer schwierig...
-
Hallo Franco, hast du vielleicht noch eine Idee wie ich zu einer adäquaten Lösung kommen könnte?
Oder ist etwas in Richtung Pfblocker geplant?
-
Ist nich geplant als Adaption, nur kleinere Verbesserungen damit wir die Funktionalität an vorhandenen Features nachempfinden können. Ich überlege gerade was man hier noch vom IPS braucht, die User-defined rules sind etwas zu schwach im Moment so dass man z.B. für DNS keine Ausnahmen machen kann. Vielleicht ist auch Suricata's geoip src/dst unbrauchbar und es sollte lieber über HOMENET -> !HOMENET laufen, bzw. anders herum. Ich diskutier das mal mit Ad.
-
Hallo Franco,
fein. ich versteh zwar nur die Hälfte.. ;)
Wie könnte ich bis dahin Länder blocken? Hast du eine Idee?
-
https://pkg.opnsense.org/snapshots/DE
Erstellt mittels FreeBSD/OPNsense:
# fetch http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
# unzip GeoIPCountryCSV.zip
# grep '"DE"' GeoIPCountryWhois.csv | tr , ' ' | awk '{ print $1"-"$2 }' | tr -d '"' > DE
Kann unter Firewall: Aliases: Import per cut+paste angelegt werden. Das Set ist aber zu groß als dass es editiert werden kann später (löschen und neu anlegen geht aber). Den Alias kannst du dann in den Firewall Regeln nutzen.
Hier sollten wir mal einen Country-Block einbauen, das ganze Alias-System ist auch nicht gerade schön. Kommt noch, aber wohl nicht vor 16.7.
Grüße
Franco
-
Hi Matthias,
Mit der nächsten Dev Version gibt es die Möglichkeit der simplen GeoIP-Aliase. Freiwillige Tester vor. :)
Grüße
Franco
-
@franco
Habe dein Post total verpasst. Ist es schon aus Dev ins Stable gerutscht?
Update:
Ist drin :) *FREUDE*
-
Hallo Matthias,
Ist alles drin, ja, ging schneller als erwartet und hatte bislang keine Beschwerden. :D
Grüße
Franco