Messages

Guten morgen,

dann ist das doch nicht so einfach, wie ich das gedacht habe. Ich hatte gestern eine win10 Kiste "offentliche IP" einen Zugriff auf meinen Rechner privat zu Hause! Das ging!

Aber von meinem Arbeitsplatz "hinter der Sense" hatte ich keinen Zugriff auf meinen privaten Rechner.Also muss an der Sense noch etwas freigeschaltet werden.

"Dazu brauchst Du Inbound-NAT-Regeln (Port-Weiterleitung) mit der Ziel-IP des Relais-Servers für die benötigten Ports." Das verstehe ich nicht so ganz, da müsste ich ja im internen Netzwerk einen RelayServer haben?

Ok, ich schaue mir das in Ruhe nochmal an. Ich konnte zu meiner Frage keine Lösungen im Internet finden! Wo hast du diese Infos her? Hättest Du einen Tipp? Wo ich da etwas dazu finden könnte?

Vielen Dank für Hilfe

liebe grüsse

Hallo,

ein Ruskserver mit einer öffentlichen IP wurde eingerichtet.
Jetzt möchte ich auf PCs in einem 192.168.50.0/24 Netz zugreifen.

Im internen Netzwerk steht eine OPNSENSE und hat NAT regeln für das Interne Netzwerk.
einmal LAN und WAN.

Ich konnte zwar NAT Regeln finden, die aber waren dafür, dass wenn der Ruskdesk Server im internen Netzwerk steht.

Das sind die Ports

Code Select Expand

ufw allow 21115:21119/tcp
ufw allow 8000/tcp
ufw allow 21116/udp

Ich hatte LAN Rules eingerichtet, Aliase für die Ports und freigegeben. Wie bei den Ports 80,443,usw.
Leider bekam ich da keine Verbindung.

Bin noch relativ neu bei OPNSENSE. Eventuell könnte mir jemand einen Tipp geben.
Ich hätte eventuell noch NAT Regeln einrichten können, aber da kann ich nur auf eine IP weiterleiten, nicht auf das ganze interne LAN oder ich habe etwas übersehen.


danke

liebe grüsse

es geht! Wieso Bilder?
ich habe im Alias die Zeit direkt eingetragen. alle 2 Minuten. Mich wundert nur, dass es über cron im Webgui nicht geht.

auch noch

Code Select Expand

rm -f /var/db/aliastables/* && /usr/local/opnsense/scripts/filter/update_tables.py

ausgeführt.

schöne Ostern!

Guten morgen.

Eingerichtet wurden zwei Blocklisten. "URL Tabelle" Diese liegen auf einem internen Webserver.

Code Select Expand

http://192.168.50.55/liste1.txt, http://192.168.50.55/liste1.txt
Für jede Liste wurde ein Alias eingerichtet. Die Felder Tage Stunden wurden leer gelassen.
Im System wurde jeweils ein Cronjob eingerichtet, um die Tabellen zu aktualisieren`

Code Select Expand

*/2 * * * *, */5 * * * *
Im Protokoll steht der Eintrag "refresh url table aliases". aber es passiert nichts?

Auf der Console sehe ich die Cronjobs

Code Select Expand

# Origin/Description: cron/Alle 5 Minuten
*/5     *       *       *       *       /usr/local/sbin/configctl -d 'filter refresh_aliases'
# Origin/Description: cron/Beschreibung
*/2     *       *       *       *       /usr/local/sbin/configctl -d 'filter refresh_aliases'

Ich habe den Cronjob im Webgui neu gestartet, den Dienst System Configuration Daemon auch.
Geht alles nicht. Deaktiviere ich den Alias und Aktiviere diesen wieder, werden die Dateien auch eingelesen.

Das probiere ich schon seit Tagen.
Auf der OPENSENE selbst wird der Webserver per curl aufgelöst, das DNS klappt.

Im Alias selbst kann ich Tage und Stunden eingeben, aber ich benötige eine Abfrage der Dateien alle 2 Minuten.
Wenn ich im Alias Stunden und Tage eintrage und zusätzlich einen Cronjob, Wie wird das abgearbeitet?
Aber im Log sieht alles gut aus.

Weiterhin habe ich gelesen, dass OPENSENE ohne Cronjob die Aliase alle Minute prüft, ist das wirklich so?

So langsam gehen mir die Haare und die IDEEN aus.
Ich lese immer wirder, prüfen Sie die Protokolle, da steht ja auch das richtige drin, aber passiet nichts.

Würde mich über einen Tipp freuen. ich dachte schon ein zweite OPNSENSE einzurichten, aber das kann nicht der Sinn sein.


Mein System OPNsense 25.1.5_5-amd64

danke LG

Guten morgen,

die datei liegt auf einem internen Webserver http://192.168.50.249/sshblock.txt
die Ipadressen sind untereinander eingetragen.

Was mich verwundert, auf dem Port 22 klappt die Regel, aber bei dem Port 60022 nicht!
Ich bin noch zu Hause, wenn ich später ins Büro komme, melde ich mich nochmal.

Wie kann ich in diesem Forum Bilder direkt hochladen?

Vielen dank für deine Antwort, ich hatte das ganze Wochenende getestet, aber es klappt einfach nicht mit dem Port 60022!
Das ist der Port für den SSH Zugang.

In der Diagnose sind alle IPs enthalten, Ich schreibe später etwas ausführlicher, die Regel musste ich wieder deaktivieren, da plötzlich der interne Webserver nicht mehr erreichbar ist.

Webserver NAT Port 80,443
SSHLogin Port 60022

Wenn die Blockrule auf Port 60022 gesetzt wurde, wieso geht dann der Webserver Plötzlich nicht mehr?
Denn dieser Lauscht ja nicht auf dem SSH Port.

vielen dank , bis später.

lg

Guten morgen,

wollte mich nochmal bedanken, das hat geklappt!
lg

danke, das habe ich echt übersehen!

schönes wochenende!
liebe grüsse

Guten morgen,

ich habe auf einem internen Server einen Port für SSH Logins eingerichtet!.
Da finden täglich SSH/FAILED Logins statt!

Diese filterte ich mir in eine Datei und fügte diese der Floating Rules hinzu.

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"Die Logins befinden sich auf dem PORT 2222.



Netzwerkaufbau

WAN= Öffentliche IP "STATISCH"
LAN = 192.168.50.0/24

Intern = SSH-LOGINSERVER "Port 2222"
Intern = Webserver "port80,443"

Die internen Server werden über NAT erreicht!

Ich dachte, wenn ich mit dem Befehl

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"die Logins auslesen, betrifft das nur den Port 2222!

Aber jetzt geht auch der Interne Webswerver nicht mehr.? Das verstehe ich nicht so richtig?!

Gibt es eine Möglichkeit, die IPs und den Port 2222 und nur diesen für "alle BAD-IPADRESSEN" zu blocken?

also eine Rule, blocke alle IPADRESSEN nur auf Port 2222, die in den Failed|Failure enthalten sind?
Oder ich müsste dann jede einzelne IP eintragen und Testen, ob der Webserver noch ereichbar ist. Das ist ja eine Unmenge an Arbeit.

Die Blockregel klappt auch soweit, die Datei dazu habe ich auf einem internen Webserver abgelegt und per URL_TABLLE IP eingebunden.

danke und ein schönes wochenende!

Hallo, ich hatte die Regel neu erstellt und es geht jetzt! Habe mal ein Testsystem genommen.

hier das LiveLoG

Code Select Expand

025-04-02T12:28:56    192.168.50.53:50620    192.168.1.249:22    tcp    ssh-lgin-sperren

Kann ich im Alias unter "Refresh Frequency" auch das manuell anstossen?

danke und liebe grüsse

Hallo, bei meinem ssh server kommen täglich ssh login versuche, die ich blocken möchte.

Auf dem Server selbst ist eine UFW eingerichtet. Über ein Script lese ich mir die Failed logins raus und speijher die inm einer TXT Datei.

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" > failure.txt
grep -E "sshd.*Failed|Invalid|Did" failure.txt | grep -v COMMAND | awk -F 'from ' '{ print $2 }' | awk '{ print $1 }' | sort | uniq -c

cat failure.txt | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq > rules.txt

cat rules.txt > "$(date "+%Y-%m-%d-%H-%M")".txt

Nun wird jeden tag eine Datei angelegt, mit den IPS!

[code]
-rw-r--r--  1 root root   96  2. Apr 05:00 2025-04-02-05-00.txt
-rw-r--r--  1 root root   54  1. Apr 05:00 2025-04-01-05-00.txt
-rw-r--r--  1 root root   54 31. Mär 05:00 2025-03-31-05-00.txt
-rw-r--r--  1 root root   54 30. Mär 05:00 2025-03-30-05-00.txt
-rw-r--r--  1 root root   68 29. Mär 05:00 2025-03-29-05-00.txt
-rw-r--r--  1 root root  107 28. Mär 05:00 2025-03-28-05-00.txt
-rw-r--r--  1 root root   81 27. Mär 05:00 2025-03-27-05-00.txt
-rw-r--r--  1 root root    0 26. Mär 05:00 2025-03-26-05-00.txt
-rw-r--r--  1 root root   14 25. Mär 05:00 2025-03-25-05-00.txt



[/code]

diese werden dann auf den Webserver kopiert. Jedoch geht das schon bei einer IP nicht?

Sinn des ganzen, ich will das mal endlich kapieren, wie ich das mache, aber egal was ich Teste, es geht einfach nicht.!

Was die Logs angeht, da blicke ich auch nicht so durch, denn ich sehe eigendlich nirgends ein error, warum diese Datei mit den IPs nicht erkannt werden. Ich habe das hier gefunden https://github.com/vivi202/firetail?tab=readme-ov-file.

Oder mal über die Console gehen, mit pfctl -vvsr usw. . Aber danke, wenn ich weiter komme, melde ich mich wieder.

liebe grüsse

Hallo zusammen,

auf der Opnsense wurde ein NAT Regel für ein SSH Server "internes Netzwerk" eingerichtet. Das klappt alles.
Der Port vom ssh Server ist die 2222 und wird auf die interne IP 192.168.50.249 weitergeleitet.

WAN = eine feste IP vorhanden.

Nun wollte ich für diese NAT Regel eine Blockliste "IP" einrichten. Diese greift leider nicht und ich komme nicht weiter.

Floating Rule ist vorhanden, die IP wird sich von einem internen Webserver geholt. www.internerwebserver/blocktestip.txt.
Da wurde ein ALIAS eingerichtet wie bei firehol1.

Die IP die ich blocken wollte, ist die von mir zu Hause, um das mal zu Testen.

Hat jemand einen Rat, wieso dass das nicht geht. Noch eine Abschliessende Frage, gibt es eine Doku, wie man im Livelock seine Eigenen Regeln erstellen kann?

vielen dank

Hallo, ich werde die Filterung mal auf dem Debian Server lassen.
Dieser stellt ein SSH LOGIN Server da. Bei dem ich nur extern einen Zugang habe.

lieben dank und ein schönes wochenende.

Hallo Pascal,

entschuldige für die späte Antwort. Ich habe eine Lösung gefunden, die ich zur Zeit nutze.

Ein Bashscript !

Code Select Expand

#!/bin/sh
GRAF=ausgabe


IP=$(echo $(dig dyndns.de +short))

#IP="dig dyndns.de.de +short"

if [ -f $GRAF ]; then
    ALT=`cat $GRAF`
        if [ $GRAF = $IP ]; then
                        echo "IP ist aktuell!"
                        exit 0;
                else
                        echo "IP ist nicht aktuell!"
                        echo "Schreibe neue IP in Datei."
                        echo $IP > $GRAF
                       # ufw delete allow  from $ALT to any port 4576 proto tcp
                       # ufw allow from $IP to any port 4576,80,443,143,25 proto tcp

                    /usr/sbin/ufw delete allow from $ALT to any port 2222  proto tcp
                    /usr/sbin/ufw allow from $IP to any port 2222 proto tcp
                fi
else
        echo "Datei ist nicht vorhanden."
        echo "Erstelle Datei in $IP und schreibe die aktuelle IP."
        echo $IP > $GRAF
        chmod 775 $GRAF
fi

exit 0;


so habe ich in der UFW auf dem Server immer die neuste IP.

Das werde ich auch noch mit OPENSENSE probieren, "danke für deinen POST!"

Der Cronjob wird alle 5 Minuten ausgeführt.

liebe grüsse

Guten Abend,

ich würde gerne das Login auf einen SSH-Server beschränken.
Beim Kunde gibt eine feste IP "extern". Bei mir zu Hause habe ich einen Dyndns!

Wie könnte ich das Einrichten, dass nur die IP "des dyndns" auf den SSH-Server erlaubt wird?
Ich setzte die Version "OPNsense 25.1.1-amd64" ein.

danke

Guten morgen,

in meinem Netzwerk 192.168.50.x wird ein DNS/DHCP Server betrieben "Windows 2012r2".
Eine Opnsense ist auch fertig eingerichtet. Nun würde ich gerne den pihole einbinden.

Trotz intensiver Suche im Netz habe ich bisher keine Lösung oder einen Ansatz finden können. Für einen Denkanstoß wäre ich sehr dankbar.

vielen dank