Messages

Patrick thanks, i know that, but why not in the plugin , where the ips block shows up? The read the pf log, so the details are there.

you right, nothing upload are very good, from this sign. But the plugin matched the list and the blocklist  take from the blocklist the ip. So when the pluing can see that dangerous ip take to connect and block ist, it can also see and write to the plugin log, which port.

for  zero days often, the check in wave specific ports. So when you see that many ips scan for a specific port in a wave, you can take it different.

Where the question to the qfeed maintainer. Can your plugin  without upload to your instances, see which port the attacker probt to be connect ?

ok so no more info, likes crowdsec ? or only with the paid version?

Thanks Patrick.


Another question, in the log from the qfeed , how can i see, which port the blocked actually tried to connect?

Thanks for this product! I will test it!

How it works with adguard? Is there a manual?

Das Problem ist aus meiner sicht, warum willst du es über die firewall ziehen? Oft setzen  die pvs und plugins die routen selber, sodass ,da keine mehr "sicherheit" entsteht. Da wäre der Vorschlag mit, ti box anderes vlan / netz und dann wirklich per fw regeln , wer zur ti box kommunizieren kann, sinnvoller, wenn es dir um sicherheit an sich geht.

Sonst kannst du dir nie sicher sein, welches gerät nicht doch direkt mit der box spricht.

Hallo Patrick!

Danke!!

dann verstehe ich es jetzt!

1. Regel Nat mit option pass = greift vor allen
2. Regel Nat mit gebundenen wan/lan regel , regel auf dem interface vorab greifen ( also blocklisten darüber) , aktuell nutze ich es so
3. Floating regel für blocklisten, greifen zuerst auch vor nat.

Danke dir!

Du musst nur den clients die kocobox routen mitgeben. die clients gehen nicht erst zur sense und dann zur box, sondern generell erst zur box und dann zur ti , wenn du die ti box so installiert hast.

Öffne dein pvs system und lass dir dann die routen anzeigen. da wirst du sehen, dass alles direkt zur ti vpn box geht. warum sollte es auch erst zur sense und dann zur box, sind ja im gleichen subnet .

 Hey,

ich habe eine Verstädnis frage.

ich habe auf wan mehrere geoblocks und blocklisten, dazu eine port forward regel für einen dienst. Diese regel ist angelegt , dass auf wan die entsprechend eregel mit angelegt wird.

greifen deswegen die blocks auf wan ? oder umgeht trotzdem das nat die regel? wie sollte man dann die blocklisten anlegen?


Liebe grüße

ok nach ausprobieren und queer lesen.

erst greift die "normale" regel , dann gehts durch die traffic shape regel,

also wenn keine regel zb für web surfen erlaubt ist kommt erst gar nicht der zweite schritt für das eingrenzen von der Geschwindigkeit.

Hallo,

ich habe wie ind er Doku beschrieben ein traffic shape angelegt .

Ziel wäre es down/upload 10mbit für web port 80/443.

Muss ich dafür die Ports eingrenzen? greifen die normalen regeln vor dem traffic shape?

1. regel client darf webports 80/443 tcp benutzen, alle anderen ports nicht
2. Traffic shape regel

Oder greift die traffic shape regel zuerst und dadurch sind alle ports frei?

oder greift die regel als erstes und die blocks usw zählen nicht mehr?

Hey,

thanks for your answer. Have you open a ticket ? Have the support answer? when not i open a ticket, because , the function when the plugin works like it would be, where the best.Eventuelly they have not become reported the bugs!? Which alternate have you in your mind?

Greets

Hello Joel,

we also buy a Deciso Appliance. And we also want to you squid as a forward proxy. With the opn-proxy buisness plugin we think, it have the complete function that we want.

But we also dont udnerstodd it full. we try different settings , but we see also policy fallback allow, and dont know where it come from.
we have a * block and test one single site allow, but when we change ip or diffenret , policy falllback allow rule comes.

when we delete custom rules. apply, restart or stop the plugin and start it again, policy tester ,s how the old custom rules and say allow.
how can we clear the cache from the tester?  i though its a buisness solution not , one time its function, one time not.

the wiki is not good for the product. it must have examples for a default buisness like sceneraio with block all, and allow custom different sites.

do you have a final resolution? or can someone thats used the buisness proxy settings , can share pictures?

which socs do you run your arm sense? i think to buy a arm device. can anyone recommed a device for me? i have 1g isp.

you can block all, thats have input ips , and allow only what you want.