Messages

Danke, genau so habe ich es gemacht und sieht gut aus.

Danke die Themen habe ich schon am Laufen und wollte die Einschränkung des Quellports Ontop machen.

Lediglich die abuseipdb kannte ich noch nicht und werde ich mir gleich mal anschauen.

Danke.

Mir geht es nicht um das Web UI der OPNSense, sondern den Zugriff auf meine öffentlichen Seiten (Services) soweit wie möglich einzuschränken. Sprich eine Portweiterleitung nur aus den Regionen und die Quellen zulassen die notwendig sind bzw. umgekehrt alle aussperren, die da eh nix vernünftiges zu suchen haben.

Hallo,

im Normalfall sollte der Zugriff auf 443 doch immer von einem High-Port kommen oder? Wenn der Zugriff vom Port 22 kommt ist doch davon auszugehen, dass da eher ein Scan oder sonstwas gemacht wird oder sehe ich da was Falsch?

Dann könnte man doch in den eingehenden Regeln auch einen Quellport zur Bedingungen machen oder  ist das nicht sinnvoll?

Es scheint immer wieder zu passieren. Eben noch ein  wenig in der Liste 'gestöbert' zeigt sie jetzt wieder gar nix mehr an (No result found). Scheint ein Bug zu sein ...

So nun plötzlich sind die Sessions wieder da. Ich hatte schon mehrfach neu gestartet, aber warum auch immer der letzte Reboot hat es gebracht und ich sehe auch wieder Sessions. Ich hatte vorher als letzten Versuch alle neu erstellten Aliase und Regeln gelöscht, aber es kann doch nicht sein, dass eine über GUI erstellte Regel die Session-List abschießt oder?

Hallo,

plötzlich sehe ich unter Firewall - Diagnostics - Sessions nichts mehr, die Tabelle ist und bleibt leer (auch nach Neustart).

States zeigt 708 Einträge, aber die Sessions sind leer auch wenn ich Zugreife, irgendwas ist ja immer aktiv ...

Jemand eine Idee?

OK+Danke ist schon mal eine Spur. Kann ich einfach in der bestehenden Regel 'Max new connections' mit z.B. 10/3 definieren und als Ziel einen selbst definieren Block-Alias auswählen?

Dann müsste doch die Quell-IP, die das Limit reißt, in der Liste landen, die ich zu meinen ersten Block-Regeln hinzufüge oder?

So könnte ich dann alle penetrante in eine Block-Liste schieben, die generell den Zugriff blockiert. Was wäre dann den sinn volle Werte für eine normale Webseite oder auch den Maileingang - wäre 10/3 zu sensibel?

Gruß und Danke.

Servus,

so langsam werde ich mit der OPNsense warm und habe Dank Blacklisten und Ländereinschränkungen den Zugriff auf meine kleinen 'öffentlichen' Spielereien deutlich besser eingeschränkt.

Hin und wieder kommt aber doch mal einer durch und fällt auf dass dann in der Regel sehr viele Einträge die PASS Regel für den eingehenden z.B. 443 auslösen. Meine Handys etc. sind da in der Regel nur 3-4 mal am Stück zu sehen und nicht 10-50 mal. Kann ich dafür eine Regel definieren die für den häufigen Zugriff von einer Source die Verbindungen komplett blocked, auch wenn es eine FW Regel gibt die TCP Eingehend auf ein bestimmtes Ziel über 443 ermöglicht (entsprechende Port-Forward Regel gibt es natürlich auch)?

Danke für einen Tip.

Habe ich auch drüber nachgedacht, aber ich habe ja diverse VLANS, die ich von AD trennen will (SmartHome, Gäste WLAN, VoIP etc.). Wenn ich das nur wegen DHCP und DNS über das AD schleife kann ich mir doch auch gleich die Trennung und Reglementierung über die OPNsense schenken, oder sehe ich das falsch?

OK, werde ich mir nochmal genau anschauen.

Von Richtung AD sieht auch schon alles gut aus. Es muss aber natürlich auch vom VLAN MM in die andere Richtung über den Dnsmasq gehen, damit z.B. Geräte aus dem Multimedia VLAN einen Server ansprechen können. Dazu muss dort ja, so mein Verständnis, die interne AD-Domain mit dem Verweis auf den DC angelegt werden etc. ...

Eine Frage noch: Was sollte man unter Dnsmasq - Domains für Einträge anlegen?

Sollte die Subdomain, die man über DHCP vergibt hier als Domain angelegt werden und wohin zeigen (IP der OPNsense?)?

Sollte man Einträge der eigentlichen AD Domain mit Weiterleitung auf die DC's inkl. Reverse Lookup (168.168.192.in-addr.arpa) anlegen?

Danke.

Aber ich glaube ich habe es, man sollte viel mehr auch unter Windows die Console nutzen:

Code Select Expand

Add-DnsServerZoneDelegation -Name "meineaddom.local" -ChildZoneName "mm" -NameServer "opnsense.meineaddom.local" -IPAddress 192.168.168.251 -Verbose -PassThru
Macht er den Eintrag (scheinbar ohne die Überprüfung auf SOA und NS) und es funktioniert auch noch ...

Wenn ich das ganze via PS machen bekomme ich auch keine ordentliche Fehlermeldung, sehe aber nicht wo die Domain schon bekannt sein soll. Ich habe jetzt gerade mit unbekannten Domains getestet und kann ohne Probleme zu mm.test.local weiterleiten aber nicht zu mm.meineaddom.local. Letzteres macht er nicht egal in welcher Kombi und wohin ich eine Subdomain hinleiten will.

Ich vermute so was darf dann nicht als Weiterleitung, sondern muss als Deligierung unterhalb der Domain meineaddom.local angelegt werden. Das geht wieder nicht weil die OPNsense dafür keine SOA- und / oder NS-Einträge liefert.

Letzteres will ich eigentlich nicht, aber der Fehler kommt auch wenn ich zum Test irgendeine Domain nehme, die auf keinen Fall schon irgendwo bekannt oder eingetragen ist.

Wenn ich Bedingte Weiterleitungen für Reverse Lookupzonen anlege funktioniert es auch mit der OPNsense als Ziel - alles sehr seltsam ...