OPNsense Forum
International Forums => German - Deutsch => Topic started by: wirehire on April 11, 2022, 10:44:17 am
-
Hallo,
ich habe derzeit ein merkwürdiges verhalten. Es wird per deny rule geblockt obwohl eine Regel erstellt ist. Regeln die vor dem update erstellt worden funktionieren.
Lan Interface
Regel 1 Alias darf alles , auch mit nur ip des clients ausprobiert.
Im Livelog wird trotzdem mit deny default deny rule geblockt .
Jemand eine Idee?
-
Vielleicht das hier? https://github.com/opnsense/core/commit/09e68888b47
Grüsse
Franco
-
Hallo Franco,
ist das ein patch oder eine Änderung bei dem Release. Muss ich etwas anderes beachten?
Kannstd u mir kurz dazu etwas erklären, da ich beim ansehen, nicht direkt ein aha erlebnis habe!
Danke
-
Die Default deny kümmert sich auch um die Pakete die einen falschen Verbindungsstatus besitzen. Bei einem Neustart verschwinden die Verbinungsdaten deswegen muss der Client schon die Verbindung neu starten bevor die eigentliche Regel wieder trifft.
Grüsse
Franco
-
Puh, also muss ich den pc neustarten, damit die Regel wieder greift, weil er den Verbindugsstatus im temp hat?
Oder die Firewall?
Oder den commit einspielen? bzw ist der in 22.1-5 eingeflossen?
-
Das kommt in erster Linie darauf an welcher Service da jetzt klemmt. Ich nehme an der PC hat ein spezifisches Problem, aber kein Allgemeines? Leider gibt es keine weiteren Informationen zum Verbindungstyp, Firewall Log Details usw.
Grüsse
Franco
-
Der Client PC , sollte einfach per webports auf das Internet zugreifen können. Ging auch vor dem Update. Zugriffe sehe ich auch , zb durch windows update anfragen oder veeam update vom Client. Dann kommt die deny regel.
Hatte dann gegen gecheckt mit einer Regel die schon aktiv war ( anderer PC) da greift die Regel.
Selbst wenn ich eine neue regel any any mit client ip als source eingebe kommt der deny.
-
@Franco.
kann ich mit einem Befehl alle Regeln neu einlesen, oder wäre das nur mit einem Neustart der Sense möglich?
Momentan wirkt es,a ls ob nur die Regel greifen, die aktiv waren, als die Sense nachdem Update neugestartet ist.
Und jede andere die man dann erstellt oder aktiviert, nicht für ihn zählt.
-
Ich gehe vorerst nicht davon aus, dass das unbestimmte "Update" hier der Schlüssel zum Ziel ist. Wie gesagt fehlt jede weitere Information, um Helfen zu können.
Grüsse
Franco
-
Das unbestimmte update, war das update auf 22.1-5
rule 8/0(match): block in on vmx2: 192.168.2.151.51772 > 20.82.210.154.443: Flags , seq 2506145518, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Wenn ich noch irgendwas posten soll , mache ich das gerne! Ich weiß deine zeit zu schätzen und möchte Sie nicht vergeuden.
-
Wenn ich eine neue Regel anlege, taucht sie nicht per :
pfctl -sr
auf, das sollte sie doch oder?
auch die aktivierte nicht und deswegen wendet er sich nicht an.
Es sind 1:1 die drin, die nachdem sense neustart (update zu 22.1-5) erstellt waren.
-
Nach einem Neustart der Firewall hat er sich die aktuellen Regeln gezogen. Da ein fehler beim booten kam, denke ich, dass dieses eventuelle nicht speichern damit zusammenhängt. Habe dafür einen eigenen Thread aufgemacht.
Danke @franco für deine Bemühungen!