Messages

1

19.7 Production Series / Re: Firewall logs with Source 0.0.0.0 and Destination 255.255.255.255 on LAN?

« on: January 11, 2020, 12:19:58 am »

PS: Ok, found the possibility to check the detailed rule info (see attached screenshot "detailed_rule_info.png").

So it's because of bogon network blocking as far as I understand (see "LAN_block_bogon_networks.png")?

I thought it's always a 'good idea' to block bogon networks, no?

Is there a recommended way to figure out which device is producing this in my network (and why)?

2

19.7 Production Series / Firewall logs with Source 0.0.0.0 and Destination 255.255.255.255 on LAN?

« on: January 11, 2020, 12:15:02 am »

Hi all,

I'am wondering since a while what this exactly means (including the IPv6 'version' of this behaviour)?

Please see attached screenshot "firewall_logs.png". Will also add a screenshot of my LAN Firewall rules "firewall_rules_LAN.png".

Is it DHCP broadcast?

Thanks everyone for help and clarification.

3

19.7 Production Series / Re: BIND with DNSBL – more detailed information about DNSBL types?

« on: November 20, 2019, 05:46:45 pm »

PS: Have also made a 'human readable' list (including my own comments) for everybody who is searching for the same information as I did until this morning … 

EasyList
https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt

EasyPrivacy
https://justdomains.github.io/blocklists/lists/easyprivacy-justdomains.txt

PornAll
https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list

PornTop1M
https://raw.githubusercontent.com/chadmayfield/pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list

AdGuard
https://justdomains.github.io/blocklists/lists/adguarddns-justdomains.txt

NoCoin
https://justdomains.github.io/blocklists/lists/nocoin-justdomains.txt

RansomWare Tracker abuse.ch (Ransomware Domain Blocklist)
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt

MalwareDomains
http://malwaredomains.lehigh.edu/files/justdomains

WindowsSpyBlocker (spy)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt

WindowsSpyBlocker (update)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/update.txt

WindowsSpyBlocker (extra)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/extra.txt

Cameleon List
http://sysctl.org/cameleon/hosts

AdAway List
https://adaway.org/hosts.txt

YoYo List
http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext

StevenBlack
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

Blocklist.site Ads
https://blocklist.site/app/dl/ads

Blocklist.site Fraud
https://blocklist.site/app/dl/fraud

Blocklist.site Phishing
https://blocklist.site/app/dl/phishing

EMD (hpHosts database for malware sites)
https://hosts-file.net/emd.txt

hphosts-ads (hpHosts database for ad- and tracking-servers)
https://hosts-file.net/ad_servers.txt

hphosts-fsa (hpHosts database for fraud sites)
https://hosts-file.net/fsa.txt

hphosts-psh (hpHosts database for phishing sites)
https://hosts-file.net/psh.txt

hphosts-pup (hpHosts database for potentially unwanted programs)
https://hosts-file.net/pup.txt

Simple Ad List (Ad filter list by Disconnect)
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt

Simple Tracking List (Basic tracking list by Disconnect)
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

The HBBTV List seems to be problematic, couldn't load this site successfully here …
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/hbbtv.txt

4

19.7 Production Series / Re: BIND with DNSBL – more detailed information about DNSBL types?

« on: November 20, 2019, 05:41:20 pm »

Great, many thanks for the link. 

Here are some projects / sites, which could be added (would be nice):

Someone Who Cares (maintained by Dan Pollock)
https://someonewhocares.org/hosts/hosts

Peter Lowe’s Ad and tracking server list
https://pgl.yoyo.org/adservers/serverlist.php?showintro=0;hostformat=hosts

MVPS HOSTS file (former Microsoft MVP 1999-2012)
http://winhelp2002.mvps.org/hosts.txt

hpHosts database for misleading marketing, e.g. fake Flash update adverts
https://hosts-file.net/mmt.txt

hpHosts database for hijack sites
https://hosts-file.net/hjk.txt

hpHosts database for exploit sites
https://hosts-file.net/exp.txt

MalwareDomainList.com Hosts List
http://www.malwaredomainlist.com/hostslist/hosts.txt

PFblockerNG list maintained by BBcan177
https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

FireHOL Level 1 attacks
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset

Ransomware IP Blocklist
https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt

EmergingThreats compromised IPs
https://rules.emergingthreats.net/blockrules/compromised-ips.txt

EmergingThreats collection (Spamhaus, DShield, Abuse.ch)
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt

Abuseat CBL
http://www.abuseat.org/iotcc.txt

CyberCrime tracking Command and Control
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/cybercrime.ipset

The last ones are from the follwoing article (maybe more nice lists could be found here):

http://supratim-sanyal.blogspot.com/2017/04/pfsense-pfblockerng-ultimate-list-of-ip.html

5

19.7 Production Series / BIND with DNSBL – more detailed information about DNSBL types?

« on: November 20, 2019, 09:05:44 am »

Hi all,

I'am using BIND with DNSBL to avoid tracking and ads inside my private network (no more need to install "uBlock Origin" on every Browser / every device).

It's still not as good as Pi-Hole or PFblockerNG on PFsense, but a beginning …  ;)

But I'am wondering where to get more information about all the different options (AdAway List, AdGuard List, … – see attached screenshot).

The ad-blocking works fine so far but maybe some of these DNSBL types are not needed at all or will produce some problems?

Thanks for clarification,
Marcel

PS: IMHO it would be nice to have a clickable link in the OPNsense GUI for every source of these DNSBL types to get more information about them.

6

German - Deutsch / Re: empfohlene Möglichkeiten für ein "whitelisting" von Wildcard-Domains?

« on: October 15, 2019, 01:49:31 pm »

Eventuell sollte ich das Ansinnen besser im englischsprachigen 19.7 Bereich posten?

7

German - Deutsch / Re: Aliase erstellen nicht mehr möglich seit 19.7.5

« on: October 12, 2019, 09:01:36 pm »

siehe hier (inkl. Lösung):

https://forum.opnsense.org/index.php?topic=14646.0

8

German - Deutsch / Re: ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

« on: October 12, 2019, 04:40:06 pm »

@banym: Klar, ich werde gern berichten, falls sich tatsächlich eine Lösung finden sollte. Bin gespannt.

9

German - Deutsch / empfohlene Möglichkeiten für ein "whitelisting" von Wildcard-Domains?

« on: October 12, 2019, 04:26:36 pm »

Hallo zusammen,

Dank einer eigenen whitelist für bestimmte IPs bzw. IP-Bereiche (auf Basis von URL Table (IPs) Aliases) bin ich wirklich happy über die Möglichkeiten meiner OPNsense – das klappt bisher super.

Da ich u.a. die FireHOL-Level-3 als blocklist nutze, hilft mir eine solche eigene whitelist nun schon sehr.

Jetzt habe ich jedoch die neue Herausforderung, dass ich gern auch bestimmte Wildcard-Domains whitelisten möchte.

Um genau zu sein, geht es mir um folgende IPs/IP-Bereiche und URLs:

https://support.zuludesk.com/hc/en-us/articles/115002303094-Required-firewall-ports-and-IP-Ranges

Und bevor ich jetzt völlig planlos rumprobiere, dachte ich mir, ich frage doch lieber mal hier die Profis, was dafür die richtige Lösung wäre? Denn als Alias kann man Wildcard-Domains wahrscheinlich nicht definieren?

Den IP-Bereich 17.0.0.0/8 habe ich mit meiner whitelist z.B. komplett erlaubt.

Nun muss ich aber zusätzlich auch noch Domains wie

swcdn.apple.com
swdist.apple.com
swdownload.apple.com

aufnehmen.

Das ginge ja wahrscheinlich auch noch mit Aliases, einfach mehrere dieser Domains im Bereich "Content" hinzufügen.

Aber was ist z.B. mit:

*.push.apple.com
*.itunes.apple.com
*.apps.apple.com
* albert.apple.com
* gs.apple.com

usw.

Wie kann ich diese als "immer erlauben" in der OPNsense definieren?

Vielen Dank wie immer für Eure tolle Unterstützung & beste Grüße.

10

19.7 Production Series / Re: Entering alias is not working

« on: October 12, 2019, 03:20:57 pm »

Can also confirm, the patch is working as expected.

Thank you very much. *thumbs up* 

11

19.7 Production Series / Re: Entering alias is not working

« on: October 12, 2019, 11:40:55 am »

Yes, have exactly the same problem with newly created Alias Content in 19.7.5.

It worked with 19.7.4 without any problem (two days ago I've used it to add my own blocklist with a special link inside "Content").

But now with 19.7.5 it doesn't accept to add new "Content" in newly created Aliases.

Seems to be a bug in 19.7.5?

PS: Oh I see, the bug is already known. Hope for a fix with a special 19.7.5.1 or so …

Because I don't know how to add this fix by myself:

https://github.com/opnsense/core/commit/7a5a2712cdb8dc5cb4e2b7fae46430bd8849799f

12

German - Deutsch / Re: ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

« on: October 11, 2019, 05:47:53 pm »

Ja, denke ich auch mittlerweile, werde da mal eher in meinen Mac-Foren recherchieren.

Danke für Eure Geduld und Unterstützung. 

scutil --dns ist übrigens noch eine Alternative zum networksetup -getdnsservers Wi-Fi

Da sieht das Ergebnis aber bei beiden Ausgaben identisch aus auf den ersten Blick (also beim Test per fester IP und Test mit per DHCP bezogener IP).

Mit einem beherzten networksetup -setdnsservers Wi-Fi 192.168.1.1 kann man übrigens erreichen, dass dann auch bei DHCP-IP die 192.168.1.1 statt There aren't any DNS Servers set on Wi-Fi zurück kommt bei der networksetup -getdnsservers Wi-Fi Abfrage.

Hilft nur leider nicht …

Wenn ich eine Lösung finden sollte, poste ich diese gerne hier.

13

German - Deutsch / Re: ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

« on: October 11, 2019, 05:14:01 pm »

Regeln hatte ich deaktiviert, das hilft leider nicht. Auch ein 'allow any' für die entsprechende IP ändert das nicht.

Wenn ich den Rechner per DHCP eine IP nehmen lasse (durch einen extra zum Test frisch definierten DHCP-Bereich), mit der ich wenige Minuten vorher problemlos auf Netflix zugreifen konnte (hier als Beispiel die 192.168.1.7), klappt es nicht …

Denn folgendes Phänomen tritt ja auf:

Bei fest zugewiesenen Netzwerk-Einstellungen klappt alles mit dem MacBook, auch die Abfrage networksetup -getdnsservers Wi-Fi gibt dann wie gewünscht 192.168.1.1 aus.

Sobald ich das MacBook aber auf DHCP umstelle, bekomme ich bei der Abfrage networksetup -getdnsservers Wi-Fi eben nicht mehr die 192.168.1.1 als Antwort, sondern ein There aren't any DNS Servers set on Wi-Fi.

Und das ist ja offensichtlich das Problem …

Witzigerweise sieht man im Bereich Systemeinstellungen / Netzwerk / WLAN bei aktiver DHCP-Netzwerkumgebung trotzdem alle (grau dargestellten, also automatisch bezogenen) korrekten Werte: DNS 192.168.1.1 usw.

Und alle anderen Seiten funzen ja, außer eben Netflix.

Das ist doch echt verrückt! 

14

German - Deutsch / Re: ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

« on: October 11, 2019, 03:23:49 pm »

Anbei auch noch einmal wie gewünscht die aktuellen LAN-Regeln.

Da ja alle anderen Geräte hier im Netzwerk machen was sie sollen, also auch auf Netflix kommen (und das MacBook mit fest zugewiesener IP ja auch mittlerweile), können wir die Regeln aber sehr wahrscheinlich wirklich ausklammern als Ursache.

15

German - Deutsch / Re: ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

« on: October 11, 2019, 03:17:18 pm »

Muss ich eventuell doch weitere Einträge im DHCP-Server machen?

Das iPad z.B. hat ja kein Problem und bezieht seine IP, die DNS-Einstellungen etc. ebenfalls per DHCP.

Habe den Bereich jetzt mal auf .181-.189 geändert, anbei ein Screenshot.

Wahrscheinlich sollte ich dann DNS-Server und Gateway mal fest eintragen beim DHCP-Server anstatt das frei zu lassen?