Messages

Okay, musste da ellenlang mit der KI hin und her diskutieren, wieso da meine NAT Regel nicht zieht, und was das mit meiner Anti_Lockout_Rule zu tun hat. Habe das aber mittlerweile verstanden denk ich.

Aber kann ich jetzt mal bevor ich den Port zur Sense ändern muss (wtf?) wenigstens mal monitoren, auf welchen Dienst es die netten Ukrainer abgesehen haben? Die sind da weiterhin fleissig am Werk...

hmm, okay. Kann ich die Regel nicht einfach dahingehend umgestalten, dass ich da nur vom LAN (Pilot Network) aus zugreifen kann? Das würde mir eigentlich reichen. Vom WAN aus will ich gar nicht, dass die Sense erreichbar ist.

Mal eine dumme Frage: Was sind eigentlich die Plesk_TCP_Ports? Doch nicht etwa 80 und 443?

Doch schon, ja. Wieso?

Ah doch, bei outbond NAT hatte ich tatsächlich mal rum gewerkelt:

Nein, glaube habe kein SNAT eingerichtet. Das hatte ich mal auf der Zywall am laufen, um auf zwei verschiedene IPs raus gehen zu können. Aber bei der Sense hab ich das glaube ich noch nicht verbrochen, so weit ich weiss. Und beim Router habe ich einfach die Sense als Exposed Host eingetragen. Und Port 25 freigegeben.

Ja, die Clients die ich blocken möchte sind eben aus dem Subnet 81.30.107.0/24. Wobei müsste das korrekt nicht 81.30.107.1/24 heissen? Sry, bin echt nicht so der Netzwerkspezialist. Ist eh mehr Bastelbude hier, da ist die Firewall nur ein kleiner Teil von. Ja, im Moment ist der Alias auf URL/IP 81.30.107.0/24.

Block Regeln habe ich bislang noch nicht. Im Moment nur das NAT Ding, wo das Subnet davon ausgeschlossen sein sollte. Aber die sind weiter online.

Und kannst Du vielleicht zur obersten NAT Regel noch was sagen? Also Pilot Adress (mein LAN), wo da TCP 20,53 und 443 drin sind? Bin mir da auch nicht mehr sicher, was ich da damals gemacht hatte. Das hat mir wohl auch mal die KI empfohlen, aber weiss echt nicht mehr, aus welchem Grund. Die Anti_Lockout_Rule da. Keine Ahnung, wozu die gut sein soll.

Das im angehängten Screenshot funktioniert btw. nicht, zumindest bei meinem schweizer Käse. Habe erst die State Table gelöscht und den Plesk Server neu gestartet, dann die Sense komplett neu gestartet und den Plesk Server auch noch mal neu gestartet. Die betreffenden Clients sind immer noch online.

Kann es sein, dass es an meinem Router vor der Sense liegt? Fahre mit doppelt NAT, geht leider nicht anders. Bridged Mode kann der nicht, und von freier Routerwahl träumen wir hier nur ausserhalb der EU...

Ja, hatte auch vermutet, dass die Regeln noch nicht greifen, weil die Verbindungen noch stehen. Hatte aus dem Grund den Plesk Server neu gestartet, dachte damit werden die Verbindungen gekappt. Reicht das nicht? Oder soll ich die Sense mal neu starten, greift die Regel dann?

Die beiden NAT Regeln mit den * Source Adresses habe ich jetzt einfach mal deaktiviert.

Whitelist kommt leider nicht in Frage. Ist ein Plesk, das zu einer Flugsimulator Community gehört. Da fliegen Piloten aus aller Welt mit. Hat z.B. auch ganz viele Verbindungen aus China. Die nerven z.T. auch hart rum im Sim, aber ich möchte da trotzdem niemanden bannen, der nicht wirklich was böses im Schilde führt. Sind wohl viele Kiddys dabei bei den Chinesen.

Vielen Piloten aus dem "Westen" wär das recht, wenn ich per GeoIP Keule mal gewisse Nationen ausschliessen würde. Aber sind wir ehrlich, irgendwann fliegt gar keiner mehr mit. Darauf würde ich gerne verzichten.

Die Website läuft zum grossen Teil extern, ist auch ein Plesk. Aber da habe ich gar keinen Zugriff auf Funktionen wie Jail oder gar einer vorgeschalteten Firewall. Aber Teile von der Website laufen auf meinem Homeserver, auf einem eigenen Plesk. Das spielt auch Reverse Proxy für weitere Anwendungen.

Um das Projekt geht es vor allem:

https://www.flugsimulatoren.ch/

Werde das aber schon noch per Floating Regeln lösen. Dünkt mich eleganter als die Lösung im NAT Bereich.

hmm, hat glaube ich nichts gebracht die Aktion. Die kommen immer noch durch.

Okay, danke. Versuche es nun über spezielle Port Forwarding Rules. Wäre das so richtig? Und muss ich da die beiden unteren Plesk Regeln mit * als Source noch raus löschen, nehme ich an? Oder wäre das in den Floating Rules besser aufgehoben? Da kann es durchaus sein, dass ich da noch mehr blocke dann, auch auf andere Ziel Adressen. Aber blicke da nicht ganz dahinter, wie das gehen soll, ehrlich gesagt.

Musste die Sense erst mal auf Englisch umstellen. Die Floating Rules heissen auf Deutsch tatsächlich "globale Regeln".

Danke. Leider nur die Hälfte verstanden.

Was meinst Du denn mit "Floating Rules"? Sind das die automatisch generierten Regeln? Oder in den globalen Regeln?

Würde das gerne bei den WAN Regeln machen, ja. So zumindest der Plan. Hatte es ja bereits versucht, siehe Screenshot oben.

Hi

Versuche ein mühsames Subnet aus UA zu blocken. Habe Gemini dazu befragt. Habe ein Alias mit dem betreffenden Subnet gemacht. Gemini meinte erst, ich müsse eine FW Regel bei der WAN Schnittstelle machen. Das hat aber nichts gebracht. Gemini meinte darauf, ich müsse die Regel vor die automatisch generierten Regeln setzen. Ist dem so? Nach mir ist das gar nicht möglich. Bzw. wüsste nicht wie.

Nun gut, meinte Gemini, ich solle das doch im DMZ VLAN blocken. Auch hier selbes Problem. Die Hosts kommen immer noch durch. Auch hier kann ich nichts vor die automatisch generierten Regeln setzen.

Nun meinte Gemini, ich soll das bei den NAT Regeln machen. Aber auch da bin ich nicht wirklich weiter gekommen.

Beim Ziel handelt es sich um einen Plesk Server. Da sind auch schon diverse Adressen aus dem betreffenden Netz im Jail. Dachte erst, die versuchen es sicher auf 8443 TCP (Mutmassung), aber den habe ich schon vor einiger Zeit zu gemacht.

Wo mache ich denn jetzt die Regel, damit das Netzwerk draussen bleibt? Würde es auch gerne loggen, um zu sehen, auf welchem Port/Dienst die da dauernd rein brezeln. Ich vermute, das wäre schon unter WAN Rules korrekt gewesen? Hatte die Regel ganz oben, aber leider kamen die netten Ukrainer immer noch durch.

Alias ist 81.30.107.0/24

Gruss und danke

Hoi

Hatte das Setup bereits so am laufen. Weiss also, dass es funktionieren würde. Wollte nur mal Eure Meinung dazu hören.

Und zwar habe ich einige Anwendungsserver. Die laufen atm auf einem ESXi, der wird getagged direkt von der Sense angefahren. Nun kommt noch ein Backup Server dazu. Da möchte ich die Anwendungsserver parallel dazu vor halten. Also wenn ich am Haupserver am basteln bin, dass ich die Anwendungs-/Spieleserver auf dem zweiten Server ausführen kann. Also kein echtes HA, wo man die VMs hin und her schubst oder einen gemeinsamen Storage hat. Die betreffenden Server würden also tatsächlich einfach zwei mal vorgehalten, meinetwegen auch mit unerschiedlichem Softwarestand. Das spielt für meine Anwendungen nur eine untergeordnete Rolle.

Will mir dieses Jahr noch einen Switch holen. Da wär dann das Ziel, alle VLAN getagged zu den beiden Servern zu führen. Die Gäste-/Gameserver bekommen dann jeweils die selbe MAC Adresse. Fahre ich einen Gast herunter, kann ich auf dem anderen Server den "gleichen" Gast starten und der zieht sich wieder die selbe Adresse. So zumindest der Plan.

Hatte das in kleinerem Massstab bereits so am laufen mit den doppelten MAC Adressen. Funktioniert also so weit. Wollte nur mal Euch fragen, ob es da noch elegantere Lösungen gäbe, ohne dass ich in der Firewall allzu gross rum konfigurieren muss. Bisschen konfigurieren an der Sense wär mir auch egal, aber es handelt sich halt schon um einige Gäste mit diversen Portfreigaben.

Gruss und danke

Okay, danke für Deine Einschätzung. Dann lass ich das so wie es ist.

Danke. Ja dachte vor allem an http/https Proxy. Der Mailserver macht nicht wirklich viel, produktiv e-mail ist eh extern. Und die beiden Plesk haben eh schon Virenschutz onboard.

Dachte vielleicht bringt es mir trotzdem was, weil klicke grundsätzlich auf jeden Link und Anhang. Wobei der e-mail/Office Client läuft eh unter Linux.

Kannst Du was dazu sagen, wie das mit der Performance aussieht? Und ob ich das ohne Probleme zurück bauen kann, sollte es für mich nicht passen? Geht eigentlich mehr um den Spieltrieb. Aber wenn Du meinst, nicht wirklich sinnvoll, lasse ich das gleich von Anfang an.

Hi

Habe eine 10 Gbit Anbindung und eine OPNsense mit einer E3-1281 v3, 32 GB ECC 1333 DDR3, drei X540 und eine Quad NIC. Hatte eine zeitlang IDS und alles am laufen, das hat mich aber ausgebremst. Jetzt ohne IDS kriege ich so um die 7/5.5. Dürfte in etwa das sein, was der Provider her gibt.

Nun dachte ich, vielleicht installiere ich clamav. Habe eine relativ komplexe Konfiguration mit einer überschaubaren Anzahl an Geräten, wo ich eigentlich nicht viel experimentieren möchte. Ist das mit clamav easy einzurichten, und vor allem wieder problemlos rückbaubar?

An der Sense hängen atm zwei dicke ESXi, ein R Pi und 2 Windows Desktops. Mit diversen Netzwerken/VLANs. Bislang ohne Switch leider.

Auf den Servern läuft eine Gaming Community, Plesk mit e-mail, je ein NFS Filer für die VMs, NAS, zabbix, VoIP, sowas in der Art.

Probieren, oder besser bleiben lassen? Ist mehr so ein willhaben Ding. Aber wenn es mich ausbremst, dann lieber nicht.

Gruss und danke