Messages

Sehe ich das richtig, dass noch immer kein WLAN AC unterstützt wird? Sollte das zugrunde liegende hardened BSD das nicht bereits können? Mein externe AP nervt u.U.

Warum blockst du überhaupt ausgehend TFTP, SNMP und Syslog? Warum sollte das rausgehen? Wovon? Warum sollte es dann da schon reingelassen werden?

Aus der SANS FAQ:

Trivial File Transfer Protocol - TFTP (UDP/69) When an attacker exploits a system, the first thing he does is go looking for some way to move his toolkit onto the system. TFTP is the tool of choice since it permits the attacker to transfer the file without any interactive prompting.  Not only should you block outbound access to TFTP, but you should also alert on this traffic pattern since it is usually an indication that an internal system has already been compromised.  As a bonus feature, blocking TFTP will prevent the transfer of the toolkit, thus making system recovery that much easier.

Prinzipiell trifft das lt. der FAQ auch auf IRC zu (darüber ließt man dann in den News konkret) etc. Wer aus einem hijacked System raus will, findet auch einen Weg (ggf. HTTPS/SSH), aber man sollte es ihm/ihr nicht so einfach machen. Ich hatte mal einen RaspPI am Netz hängen und konnte durch Zufall auf dem Screen mit ansehen, wie das Teil auseinander genommen wurde - getauschte SSL Certs, per cpio ein neues home unter /var/lib etc).

Wie das Regelwerk abgewarbeitet wird, steht eigentlich klar in den Docs drin. Regeln mit Quick (Blitz) sind first match - also top down die erste gewinnt. Ohne quick ist es "last one matches" außer es gibt vorher eine Regel die quick ist. Daher mixt man die nur höchst ungern.

wie wird den konkret in und out in dieser gegeben Reihenfolge abgearbeitet? Solange alles dir=in war, war alles klar

Ich sehe tatsächlich recht wenig Sinn in WAN Egress Filtering bis auf einige wenige Ausnahmen. RFC1918 outbound bspw. - das hat upstream nix zu suchen und wird spätestens dort eh verworfen, muss aber gern nicht erst dahinkommen. Alles andere: Warum soll ich es "out" blocken wenn ich es "in" gar nicht reinlasse? Macht für mich wenig Sinn :)

wie gesagt, Malware und anderes Ungeziefer, das evtl. die Kiddies ahnungslos reinlassen und dann raus wollen um dann richtig nachzuladen.

ich habe gerade die dockerized Instance von NextCloud/x86 nicht am laufen, glaube mich aber zu erinnern, dass 512MB bis 1GB verbraucht werden - ohne die üblichen AddOns (allerdings mit postreSQL bei mir). Wenn man diese nicht gerade für den sonstigen Gebrauch (auch dank COVID-19 und Kid's Schul-Cloud) zu laufen hat, finde ich das Overkill.

Mit den custom CRON jobs ist natürlich schade zu lesen ...

Hi,

I'm using DNS NAT to redirect DNS transfer to local unbound. This was working until yesterday. I've no idea what I've changed, suddenly DNS resultions doesn't work any more. On logs I see incoming DNS/UDP packets rejected and I have no idea why? Any hints?

libqrencode and install the missing packages via pkg install ... solved it. I could swear htop got the tools by its own build process ...

Hello OPNsense Freunde,

wie werden die Regeln für egress Filtering bzgl. Reihenfolge angewandt? Die Doku (https://docs.netgate.com/pfsense/en/latest/book/firewall/ingress-and-egress-filtering.html#egress-filtering) ist nicht sehr aussagekräftig, oder ich habe nicht aufmerksam genug gelesen.

Ich habe mich diesem mal angenommen (siehe auch [Egress Filtering FAQ - SANS Institute](https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059)) und was heraus gekommen ist ist im Anhang zu sehen - ein Misch aus ingress und egress Filtering bzgl. Reihenfolge. Oder ist das bzgl. in/out egal?

Ich überlege mir, gerade den MS Kram mit in die Silent Block Category aufzunehmen - da schwirrt ja eine Menge rum. Was sagen die Praktiker dazu?

Hello OPNsense friends,

for a self written script I require qrencode. I installed the opnsense tools and ports and found:

Code Select Expand


/usr/ports/graphics/qr-code-generator


but failed to compile it:

Code Select Expand


sudo make install
===>   qr-code-generator-1.6.0 depends on package: gmake>=4.3 - found
usage: install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 file2
       install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 ... fileN directory
       install -dU [-vU] [-g group] [-m mode] [-N dbdir] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               directory ...
*** Error code 64

Stop.
make: stopped in /usr/ports/graphics/qr-code-generator


Before, I compiled and build htop successfully, which was quite easy. So, what is the way to compile/install this? My first attempt was to compile py-qrencode, but it will install a lot of other and therefore unwanted tools! Hence I ^C the build ....

Finally I only want to call

Code Select Expand


echo "Foo Bar" | qrencode -t ANSIUTF8


to get my QR Code.

Hi,

ich habe ein ähnliches Setup mit Cable-Router, OPNsense etc. wie Du bzw. wie JeGr vorgeschlagen hat. Hier einmal wie ich vorgegangen bin:

- [OpenDNS](https://docs.opnsense.org/manual/opendns.html), Account anlegen, DNS Anfragen werden nach Deinen Angaben schon vor gefiltert (Porn etc. on/off obliegt Dir X-)
Damit werden die entsprechenden Einträge in den DNS server unter System eingetragen, die nicht durch das DHCP WAN (also per Modem) überschrieben werden sollten, siehe Anhang
- [Unbound DNS](https://docs.opnsense.org/manual/unbound.html) einrichten, siehe Anhang (die Custom Settings ignoriere bitte)
- [HOWTO - Redirect all DNS Requests to Opnsense ](https://forum.opnsense.org/index.php?topic=9245.0)
- im WAN habe ich nun keine Regeln, wie gesagt: per default wird alles geblockt.

mache ich nun aus dem internen! Netz einen Scan auf meine externe IP:

Code Select Expand


sudo nmap -p22,53,80,443  xxxx.ddns.net
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-13 19:48 CEST
Nmap scan report for xxxx.ddns.net (AA.BB.CC.DD)
Host is up (0.00048s latency).
rDNS record for AA.BB.CC.DD: cool-aa-bb-cc-dd.provider.de

PORT    STATE    SERVICE
22/tcp  filtered ssh
53/tcp  open     domain
80/tcp  filtered http
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 1.37 seconds


so scheint zB. der Port 53 von außen offen zu sein. Machst Du aber mittels eines online Port Scanners (zB. http://www.dnstools.ch/port-scanner.html) einen Test auf Deine externe IP:53 (oder eben 80,443,...), so ist dieser geschlossen! Erfolgt kein Redirect werden viele DNS queries mit imo teilweise fragwürdigen IP/DNS Namen geloggt (so war es bei mir zumindest).

Die Profis hier können den Grund für obiges sicher besser erklären - ich denke aufgrund der bekannten/notwendigen Route zum Model/WAN und NAT reflection? klappt es über das interne Netzwerk so "einfach". Aus dem gleichen Grunde kommst Du auch via dem WAN auf das WebUI Deiner Fritzbox (bzw. Cable Modem).

Evtl. bringt das ja etwas Licht in Deine Sache?

Hello,

I have here a strange blocking message about SSDP Protokoll Port 1900 from host which shouldn't exist there. My network topology is as of:

Code Select Expand


Internet
   |
   |
Provider IP
   |
Cable Modem (Web API 192.168.0.1)
|       |
|       +-- 192.168.0.10 pfsense (old Setup, to be replaced)
|
+-- 192.168.0.111 (WAN)
       OPNsense (current setup)


Dst '239.255.255.250' is the multicast SSDP adress  with port 1900 (see [Simple Service Discovery Protocol](https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol)) which I want to silent block next time; but, where from comes the source IP? There should be only the two from the senses, there is no WLAN on cable modem active!

Anyway, does the pf rule attached do the job (no idea about netmask and brastcast 'IP's)?

keine direkte Hilfe, aber evtl. hilft Dir ja [unbound plus](https://forum.opnsense.org/index.php?topic=14116.0) hier weiter?

Hello OPNsense Freunde,

irgendwie habe ich meine Config bei obigen Plugins/Pckgs vermurckst - ein Neu-Install hat nix gebracht, da die Web Konfig behalten wird und ich so nicht wieder "von vorne" anfangen kann. Daher die Frage, wie resette ich diese?

Aber nun zum Problem. Ich behaupte, ich bin vorgegangen wie in [Setup Transparent Proxy](https://docs.opnsense.org/manual/how-tos/proxytransparent.html#setup-transparent-proxy) beschrieben :)

Rufe ich dann den EICAR via http auf (http://www.rexswain.com/eicar.html) bekomme ich die Warn-Meldung. Rufe ich per https auf (https://www.eicar.org/?page_id=3950) kommt keine Meldung - ich kann ungehindert runterladen. Eine kurze Zeit bekam ich diesen auch mal zu sehen, plötzlich nicht mehr. Im FF konnte ich oben sehen "zertifiziert von HomeLAN CA" (oder so - meine self-signed interne CA). Chrome ist da zickiger. Das self-signed CA CRT habe ich system-wide auf meine Fedora Installation gebracht, was im FF auch als "System Trust" in der Zertifikatsverwaltung angezeigt wird.

Auf der Sense laufen all Prozesse (es gab auch mal lt. Logs einen Crash, daher die oben erwähnte Neuinstallation):

Code Select Expand


admin@OPNsense:~ % sudo sockstat  -l | egrep '(clamav|icap|squid)'
c_icap   c-icap     35415 5  tcp6   *:1344                *:*
c_icap   c-icap     28209 5  tcp6   *:1344                *:*
c_icap   c-icap     57726 5  tcp6   *:1344                *:*
c_icap   c-icap     3990  5  tcp6   *:1344                *:*
clamav   clamd      78715 4  tcp4   127.0.0.1:3310        *:*
clamav   clamd      78715 5  stream /var/run/clamav/clamd.sock
squid    squid      68856 11 udp46  *:25886               *:*
squid    squid      68856 20 udp4   *:58766               *:*
squid    squid      68856 47 tcp4   127.0.0.1:3128        *:*
squid    squid      68856 48 tcp6   ::1:3128              *:*
squid    squid      68856 49 tcp4   127.0.0.1:3129        *:*
squid    squid      68856 50 tcp6   ::1:3129              *:*
squid    squid      68856 51 tcp4   192.168.20.1:3128     *:*
squid    squid      68856 52 tcp4   192.168.1.1:3128      *:*
squid    squid      88504 9  dgram  (not connected)

mit

Code Select Expand


admin@OPNsense:~ % cat /usr/local/etc/squid/squid.conf
http_port 127.0.0.1:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port [::1]:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port 127.0.0.1:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port [::1]:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.20.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.1.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/squid/ssl_crtd -M 4MB
sslcrtd_children 5
tls_outgoing_options options=NO_TLSv1 cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
acl bump_step1 at_step SslBump1
acl bump_step2 at_step SslBump2
acl bump_step3 at_step SslBump3
acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
ssl_bump peek bump_step1 all
ssl_bump splice all
ssl_bump peek bump_step2 all
ssl_bump splice bump_step3 all
ssl_bump bump
sslproxy_cert_error deny all
acl ftp proto FTP
http_access allow ftp
acl localnet src 192.168.20.0/24 # Possible internal network (interfaces v4)
acl localnet src 192.168.1.0/24 # Possible internal network (interfaces v4)
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl remoteblacklist_Shallalist.de dstdomain "/usr/local/etc/squid/acl/Shallalist.de"
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icap_enable on
icap_default_options_ttl 60
adaptation_send_client_ip on
adaptation_send_username off
icap_client_username_encode off
icap_client_username_header X-Username
icap_preview_enable on
icap_preview_size 1024
icap_service response_mod respmod_precache icap://[::1]:1344/avscan
icap_service request_mod reqmod_precache icap://[::1]:1344/avscan
include /usr/local/etc/squid/pre-auth/*.conf
adaptation_access response_mod deny remoteblacklist_Shallalist.de
adaptation_access request_mod deny remoteblacklist_Shallalist.de
http_access deny remoteblacklist_Shallalist.de
adaptation_access response_mod deny !Safe_ports
adaptation_access request_mod deny !Safe_ports
http_access deny !Safe_ports
adaptation_access response_mod deny CONNECT !SSL_ports
adaptation_access request_mod deny CONNECT !SSL_ports
http_access deny CONNECT !SSL_ports
adaptation_access response_mod allow localhost manager
adaptation_access request_mod allow localhost manager
adaptation_access response_mod deny manager
adaptation_access request_mod deny manager
http_access allow localhost manager
http_access deny manager
adaptation_access response_mod deny to_localhost
adaptation_access request_mod deny to_localhost
http_access deny to_localhost
include /usr/local/etc/squid/auth/*.conf
adaptation_access response_mod allow localnet
adaptation_access request_mod allow localnet
http_access allow localnet
adaptation_access response_mod allow localhost
adaptation_access request_mod allow localhost
http_access allow localhost
adaptation_access response_mod deny all
adaptation_access request_mod deny all
http_access deny all
include /usr/local/etc/squid/post-auth/*.conf
cache_mem 256 MB
cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache
refresh_pattern pkg\.tar\.xz$   0       20%     4320 refresh-ims
refresh_pattern d?rpm$          0       20%     4320 refresh-ims
refresh_pattern deb$            0       20%     4320 refresh-ims
refresh_pattern udeb$           0       20%     4320 refresh-ims
refresh_pattern Packages\.bz2$  0       20%     4320 refresh-ims
refresh_pattern Sources\.bz2$   0       20%     4320 refresh-ims
refresh_pattern Release\.gpg$   0       20%     4320 refresh-ims
refresh_pattern Release$        0       20%     4320 refresh-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)     4320 80% 129600 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd) 4320 80% 129600 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)       4320 80% 129600 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_v4_first on
access_log stdio:/var/log/squid/access.log squid
cache_store_log stdio:/var/log/squid/store.log
httpd_suppress_version_string on
uri_whitespace strip
forwarded_for on
logfile_rotate 0
cache_mgr root@home.lan
error_directory /usr/local/etc/squid/errors/en-us

Was hier auffällt ist der fehlende SSL 3129 Port an 192.168.1.1 (LAN1 mein aktuelles non-VLAN) und 192.168.20.1 (LAN mit VLAN=20 soll LAN1 später ersetzen). Ich hoffe, ich habe alle relevanten Screenshots gemacht.

Danke für die Erklärung. Ich bin von falschen Annahmen bzw. Erwartungen ausgegangen und dies erklärt alles.

vielen Dank für die ausführliche Antwort. Inzwischen habe ich mit der Blacklist von unbound+ auch so meine Erfahrung gesammelt. Mit der WindowsSpyBlocker List konnte ich mich zB. nicht einmal mehr bei M$ live.com  einloggen bzw. (andere Listen) bei mydealz.de keinen affiliate link zum Objekt der Begierde öffnen (spart Geld ...). Effektiv sind nur die Malware, Ransomware, NoCoin und easyList übrig geblieben, den Rest muss uBlock & Co. machen. Urspünglich war die Idee, den Gästen ein "ursprüngliches", aber komfortables (DNS Cache, ggf. Squid) WLAN zur Verfügung zu stellen und die gleichen Konzepte auch für den IOT Dreck zu verwenden, der auch bei mir so langsam um sich greift ....

PiHole soll bei mir später im Docker laufen (wäre hier in Verbindung mit OPNsense OT), auf dessen Host auch dockerized NextCloud läuft. Hier sind wir bei einem der Dienste, die ich auch für die Familie WAN-wide "anbieten" will. U.U. "muss" ich auch die pubertierenden Freunde von meinen Kids diesen Service anbieten (legale use wäre Group-Homework als CoviD-19 Bespaßung seitens der Schule aus, abuse use anschließend mit "Hack den Alten - der darf mich nicht schlagen").

Sind die 30 Tage (was viele nutzen) nicht nur wenn sich die IP nicht ändert? Ansonsten würde ich wirklich mal drüber nachdenken, mir irgendeine simple kleine Domain zu suchen. Wenns keine abgefahrene Endung sein muss sondern nur billig findet man sicher was mit .de oder bspw. .xyz oder ähnlichem, die wirklich billig sind. Billig im Sinne von 3-8€ im Jahr(!). Und die dann bspw. bei Cloudflare o.ä. als DNS aufzulegen und schwupp die volle API Möglichkeit in der Sense zu haben, das wäre der Spaß schon wert :)

Mit den 30 Tagen kann durchaus sein, ich habe kein Tagebuch geführt, aber ich behaupte meine IP ist länger als die 30 Tage die selbe. Eine eigene Domain wollte ich erst, wenn alles so klappt ich ich es mir für die Familie vorstellt hatte. Ggf. hat man dann einen Eisbecher im Jahr weniger ...

Aber unabhängig davon, wozu die ganzen Login Daten und DDNS Service in OPNsense, wenn es sich nicht automatisch verlängern lässt?

Dyndns ist selbst erklärend, ganz simpel. Da braucht man keine Anleitung für

Ja, ist es. Evtl. ist aber untergegangen, dass ich den Free Mode von No-Ip benutze und so alle ~30 Tage mich da einloggen muss um den Eintrag aufrecht/aktiv zu halten. Ich hatte es so verstanden, dass das OPNsense selber macht - hier mit Hilfe von DNS-o-matic. Hat nicht geklappt, ich bekam gegen Ablauf den Hinweis, dass ich mich mal dort blocken lassen soll und der DNS entry war danach wirklich weg. .... Daher cron ... Ich lese raus, dass das der falsche Weg sein soll, das löst aber nicht mein Problem alle 30 Tage - und ja ich weiß, auch dass ist kein echtes Problem - aber das nervt ...