Messages

Translate with ChatGPT

Hello,
I have been using the Community Edition of Q-Feeds for quite some time now, but my initial enthusiasm has gradually given way to a certain sense of disappointment.

At the beginning of my testing, Q-Feeds was reliably blocking almost everything. This gave me the impression that, in the long run, it might even be possible to replace CrowdSec entirely with Q-Feeds.

However, after more than seven days, the picture looks quite different. Q-Feeds is now contributing very little, while my static Spamhaus blocklists in combination with CrowdSec are doing most of the work. Q-Feeds is only filtering the small remainder that gets through.

At this point, whether Q-Feeds is active or not in the Community Edition makes no noticeable difference in practice. It is worth mentioning that Q-Feeds is placed at the very top of my rule order.

cu Richard

---Original Deutsch/German---
Hallo,

Ich nutze die Community-Version von Q-Feeds inzwischen über einen längeren Zeitraum. Meine anfängliche Begeisterung ist allerdings inzwischen einer gewissen Ernüchterung gewichen.

Zu Beginn meines Tests hat Q-Feeds nahezu alles zuverlässig blockiert. Dadurch entstand bei mir der Eindruck, dass es perspektivisch eventuell möglich wäre, CrowdSec vollständig durch Q-Feeds zu ersetzen.

Nach inzwischen mehr als sieben Tagen zeigt sich jedoch ein anderes Bild: Von Q-Feeds kommt kaum noch etwas, während meine statischen Spamhaus-Blocklisten in Kombination mit CrowdSec den Großteil der Arbeit übernehmen. Den verbleibenden Rest filtert dann Q-Feeds.

Ob Q-Feeds in der Community-Version bei mir aktiv ist oder nicht, macht in der Praxis aktuell keinen wirklich spürbaren Unterschied. Dabei ist wichtig zu erwähnen, dass Q-Feeds in meiner Regelreihenfolge an erster Stelle steht.
 
VG Richard

hallo,

>> However, I have found that the ability to look up IPs can be useful, including getting a site unblocked by qfeeds after some review.

--Translate with ChatGPT----

That is a valid point and, at the very least, adds value to the Plus package. While uninstalling CrowdSec is certainly possible, I do not see any urgent need for action at this time, as the solution currently consumes no significant resources and causes no apparent disadvantage. Whether this assessment will remain valid in the long term is something I would prefer to leave open for now.

As for Q-Feeds, I have a positive view of the project. Despite still being relatively young, it runs very reliably in my environment. My only reservation concerns outsourcing the rule sets to an external service provider — which, incidentally, also applies to CrowdSec

cu Richard

---Original German----

Das ist ein berechtigter Punkt und wertet das Plus‑Paket zumindest auf. Eine Deinstallation von CrowdSec ist zwar möglich; aus meiner Sicht besteht jedoch kein akuter Handlungsbedarf, da die Lösung derzeit keine nennenswerten Ressourcen bindet und keinen erkennbaren Nachteil verursacht. Ob diese Einschätzung langfristig Bestand hat, möchte ich zum jetzigen Zeitpunkt offenlassen.

Zu Q‑Feeds: Ich stehe dem Projekt positiv gegenüber. Trotz seines noch jungen Alters läuft es in meiner Umgebung sehr stabil. Der einzige Vorbehalt betrifft die Auslagerung der Regelwerke an einen externen Dienstleister – das gilt im Übrigen auch für CrowdSec.

VG Richard

---Translate from ChatGPT----
Hello everyone,

I'm currently using the community edition of qfeed on OPNsense and am generally satisfied. However, I'm considering an upgrade to the Plus or Premium version. Right now, qfeed and CrowdSec share the blocking duties; between them, they already filter out most unwanted traffic. The remaining protection is handled by traditional filter rules.

Since I plan to make a NAS accessible from the internet for personal use and security is a top priority, I'm wondering whether an upgrade would noticeably improve protection. An update/response interval of 4 hours sounds more reassuring than 7 days. qfeed's pricing also seems reasonable to me, which unfortunately isn't the case with CrowdSec.

What are others' experiences with upgrading to Plus/Premium? Does it deliver tangible benefits in practice—especially for internet-facing services?

cu Richard

---Original German----
Hallo zusammen,

ich nutze derzeit die Community-Version von qfeed auf OPNsense und bin damit grundsätzlich zufrieden. Dennoch überlege ich, auf die Plus- bzw. Premium-Version zu wechseln. Aktuell teilen sich qfeed und CrowdSec die Blockieraufgaben; den Großteil der unerwünschten Zugriffe filtern die beiden bereits zuverlässig. Den restlichen Schutz übernehmen klassische Filterregeln.

Da ich privat ein von außen erreichbares NAS bereitstellen möchte und mir Sicherheit besonders wichtig ist, frage ich mich, ob ein Upgrade den Schutz spürbar verbessert. Ein Aktualisierungs-/Reaktionsintervall von 4 Stunden klingt für mich überzeugender als 7 Tage. Zudem ist der Preis von qfeed für mich attraktiv, was ich von CrowdSec derzeit leider nicht sagen kann.

Wie sind eure Erfahrungen mit einem Upgrade auf Plus/Premium? Bringt es in der Praxis messbare Vorteile – insbesondere bei extern erreichbaren Diensten?


VG Richard

Hi Richard,

Well glad that you solved it. Maybe you can share the solution for other users?

Kind regards,

David

Die Ursache lag in meinen Sicherheitseinstellungen von uBlock Origin (uBO). Die Website qfeeds nutzt Ressourcen von cdn.jsdelivr.net/npm, das ich in uBO global blockiert hatte. Zunächst ging ich davon aus, dass eine Freigabe über das uBO‑Panel ausreicht; tatsächlich funktionierte es erst, nachdem ich die Domain cdn.jsdelivr.net/npm im Logger explizit zugelassen hatte. Grundsätzlich möchte ich den Einsatz von jsDelivr nach Möglichkeit vermeiden und blockiere entsprechende Ressourcen. Um es jedoch nicht zu übertreiben, erteile ich bei Bedarf in uBO gezielte Ausnahmen.

VG Richard

Hat sich erledigt, leider kann ich den Eintrag nicht mehr löschen.

LR Richard

Hallo zusammen,

ich teste derzeit das OPNsense-Plugin q-feeds; grundsätzlich funktioniert alles wie erwartet. Beim Aufruf über Firefox mit uBlock Origin (uBO) als aktivem Add-on und dem Dashboard als Startseite kann ich jedoch die Menüauswahl nicht öffnen. Sobald uBO deaktiviert ist, funktioniert das Menü einwandfrei. Den Umgang mit uBO kenne ich gut.

Könnten Sie bitte prüfen, ob ein Anti‑Ad/Content‑Blocker-Mechanismus oder eine ähnliche Schutzfunktion aktiv ist, oder ob es sich um einen Kompatibilitätsfehler handelt? Ich möchte uBlock Origin ungern deaktivieren und bevorzuge eine Lösung, die die Nutzung gängiger Content-Blocker nicht einschränkt.

Vielen Dank im Voraus.

Viele Grüße
Richard

Hallo,

[...] Beide Netzwerke (LAN 1 und 2) sollten eigene IP Bereiche erhalten. Dann musst du klären, welches DNS du benutzen willst. Den vom ISP / Box oder einen eigenen auf OPNsense (unbound). Außerdem scheint die Box auf WAN eine private IP zu verwenden, weil du noch eine ISP Box davor hast. Ergo musst du Routen auf der Box setzen können, bevor irgendwas von außen erreichbar wird. Alternativ kann man auch mit NAT und Port Forwarding arbeiten - ist aber noch umständlicher.

[...]

Darüberhinaus muss du dann entsprechende Firewall-Regeln für beide Netzwerke einstellen. Die IP-Adressebereiche dürfen sich nicht überlappen. D.h. z.B. 192.168.1.1/24 und 192.168.2.1/24 als Interface Adressen. Aber nur, wenn 192.168.1 bzw 192.168.2 noch nicht in Benutzung sind von der ISP Box. [...]

Danke ich werde mir das anschauen

Hallo,

Lass den Bridge Mode sein.

Ok, ist mir sowieso lieber.

* Was sollen Rechner im LAN #1 können dürfen? Alles, nur Internet, nur NAS, gar nichts?
* Was sollen Rechner im LAN #2 können dürfen? Alles, nur Internet, nur LAN#1 bedienen, gar nichts?

LAN#1 (PC) darf alles. Internet Zugang und zugriff auf LAN#2
LAN#2 (NAS) soll über das Internet erreichbar sein.

Beide Clients dürfen unabhängig Zugang haben. Egal ob der jeweilige Client an oder aus ist.

Konfiguriere DHCP

Da gibt es nicht viel was ich Konfigurieren kann. Siehe Anlage. oder ich schaue an der falschen Stellen nach.

Ich habe zu Anfang testweise (bei meinen ersten versuchen) alles freigegeben. Sowol LAN #1 als auch LAN #2.
Trotzdem konnte ich vom PC nicht auf das NAS zugreifen.   

Beim DNS(unbound)  hatte ich die Einstellung auf "Standard" gelassen, aber kannst du mir ein Tipp geben wo  an welcher
Einstellung ich drehen kann?

[Erste Frage: ist das normal?]

Hallo,

ich habe kürzlich ein Protectli Barbone mit 4Ports erworben, auf dem OPNsense läuft, da ich mein NAS nicht ungeschützt betreiben möchte. Ich habe die Grundinstallation durchgeführt, jedoch noch keine Regeln festgelegt.

Bevor ich weitere Änderungen vornehme, möchte ich zunächst verstehen, wie alles funktioniert.

Leider ist es mir nicht gelungen, ein Bild einzufügen, daher beschreibe ich die Konfiguration in Textform.

Mein Netzwerk ist recht übersichtlich: Es besteht aus einer Fritzbox (Kabel) als Einstieg, gefolgt von einer Firewall, die OPNsense ausführt. An die Firewall sind zwei LAN-Ports angeschlossen: LAN1 für meinen PC und LAN2 für das NAS. Die IP-Adressen wurden vom System zugewiesen.

DHCP auf LAN1 (192.168.1.1) wurde vom OPNsense eingerichtet , und leider kann ich es nicht deaktivieren. Zuerst habe ich die IP-Adresse von LAN2 statisch auf 192.168.1.2 gesetzt. Allerdings stellte ich fest, dass mein PC plötzlich keinen Internetzugang mehr hatte, sobald ich das NAS ausschaltete. Nachdem ich die Einstellung von statisch auf DHCP für LAN2 geändert habe, konnte ich das NAS ein- und ausschalten, und mein PC behielt den Internetzugang. Erste Frage: ist das normal?

Ich stehe vor der Herausforderung, von meinem PC (LAN1) nicht auf mein NAS (LAN2) zugreifen zu können. Nach einiger Recherche bin ich auf die Möglichkeit gestoßen, dies über eine Bridge zu lösen. Ich habe die Anleitung unter https://docs.opnsense.org/manual/how-tos/lan_bridge.html gelesen, aber ich komme bei der Umsetzung nicht weiter.

Das Problem, dem ich gegenüberstehe, ist folgendes: Ich habe einen "Bridge" unter "Other Type" erstellt und die Schnittstellen für LAN1 und LAN2 hinzugefügt. Bei den Einstellungen der Schnittstelle für LAN2 habe ich den IPv4-Typ auf "none" gesetzt. Allerdings ist es mir nicht möglich, dies für die Schnittstelle von LAN1 zu tun, da hier DHCP aktiviert ist.

Frage2: Wie kann ich dieses Problem lösen?