OPNsense Forum
International Forums => German - Deutsch => Topic started by: fabian on October 06, 2018, 11:03:20 am
-
Nächste Woche ist in Dornbirn (Bundesland Vorarlberg in Österreich) mein Workshop zu OPNsense. Wer sich noch nicht angemeldet hat, kann ggf. noch:
https://www.linuxday.at/die-opnsense-firewall-distribution
Ort: https://osm.org/go/0C283FHld--?m=
-
Hi Fabian,
an sich eine tolle Idee. Wäre zu diesen Themen auch mal ein Webinar möglich? Nicht jeder hat ja die Möglichkeit, nach Österreich zu fahren.
Beste Grüße
Mario
-
Weiß ich nicht - habe noch nie ausprobiert ob es technisch geht. Mein Laptopmikrofon ist eher schlecht und wegen der Software müsste ich schauen, was geeignet ist und unter Linux läuft. Derzeit habe ich in die Richtung nichts in Planung aber vielleicht irgendwann einmal. mimugmail (ein anderer Contributor) mach hin und wieder eins.
-
Im November mit Thomas Krenn eins mit Schwerpunkt VPN.
-
das Seminar wäre sehr interessant!!
Wäre es möglich Teile des Seminars als Video zur Verfügung zu stellen?
Liebe Grüße,
René
-
Das erste Webinar von Michael ist hier verewigt:
https://www.thomas-krenn.com/de/tkmag/webinare/opnsense-fuer-anwender-wie-sie-die-firewall-richtig-nutzen-und-absichern/
Grüsse
Franco
-
Danke! :)
-
Habe mir vorhin das Webinar angeschaut. Und finde diese Idee sehr schön, auch die Erwähnung des Siproxd Plugins. :D
Das ist so auch besser erklärt als jede geschriebene Anleitung, @franco: vielleicht sollte das Webinar direkt auf der OPNsense Website verlinkt werden, dann muss man das nicht hier im Forum erst suchen.
-
FYI the slides are available here:
https://www.linuxday.at/downloads/2018
-
Kleines Nitpicking der Folien @fabian: ICMP ist m.W. offiziell noch L3 nicht L4, oder? ;)
-
Kleines Nitpicking der Folien @fabian: ICMP ist m.W. offiziell noch L3 nicht L4, oder? ;)
Darüber lässt sich streiten - läuft ja IP drunter und im IP next protocol header steht die nummer von ICMP (1) oder ICMPv6 (56) drin. Also liegt es technisch schon man über IP. Und es gibt natürlich noch die ICMP basierten VPN-Programme und da stellt sich die Frage dann wirklich, ob das L3 ist ;)
Siehe:
https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml
https://de.wikipedia.org/wiki/ICMP-Tunnel
-
Deshalb ja auch Nitpicking mit Smiley dahinter ;) Aber - es ist lange her - soweit ich mich damals an das OSI Schichtenmodell erinnere war da ICMP legacy (v4) als L3 geführt :)
Wäre allerdings IMHO gar nicht soo verkehrt, das da (oder sagen wir L3,5) oder dazwischen zu sehen, denn viele vergessen immer wieder, dass ein Ping nicht unbedingt aussagekräftig ist, ob ein Dienst auch funktioniert oder nicht :) Sehe/höre/lese das viel zu häufig "XY ging nicht, weil Ping" - Service geht aber, Host antwortet blos nicht auf ICMP.
BTW und apropos Ping/ICMP: Wie stehst du eigentlich zu ICMP(6) öffnen auf WAN? :)
-
Wenn du es dir mal anschaust in der /tmp/rules.debug sind ein paar dinge eh immer erlaubt (was für SLAAC etc. benötigt wird).
Die restlichen kann man nach Bedarf freischalten.
Ping ist nicht per se bösartig, aber kann ggf. zum Tunneln verwendet werden und verbraucht Traffic. Ersteres kann man technisch lösen, letzteres muss abgewogen werden. Habe Grundsätzlich nichts dagegen, wenn man über ICMP sieht, dass meine Hosts laufen. Das ist den Scannern ja sowieso egal.
Mit dem hier musst du halt aufpassen, aber das ist meistens eh nur übers LAN möglich: https://github.com/vanhauser-thc/thc-ipv6
-
Das war jetzt eher allgemein bezogen auf ICMP(6). Es gibt ja immer noch etliche Hardliner die es komplett blocken (auf dem WAN) oder die "Gemäßigten" die es zumindest partiell erlauben. Zudem aber auch die wachsende Fraktion, die es aufmachen: "Wenn ICMP deine größte Sorge ist, hast du andere Probleme!"
Daher die Frage :)
-
Wenn du es sperrst, geht nix mehr.