Topics

Servus,

bin gerade beim Feudeln- Quasi am Packet-Flusensieb reinigen.
Unter anderem möchte ich, für mich sinnlose, Alerts deaktivieren.
(...was bei Suricata übrigens sehr unspassig ist)

Beim Firewall-Log verstehe ich allerdings etwas nicht so ganz,
wie zum Beispiel:

GUI
>Firewall
>>Log Files
>>>Normal View

Tabellenspalte "Rule":
Eintrag zum Beispiel "(@73)"

Mit der Regel "73" kann ich irgendwie wenig anfangen.
Wie kann ich nachvollziehen, welche Regel dies ist?

thx&
greets
Rainer

Hallo,

in meinem Aufbau kommt zuerst die Fritzbox und danach die Opensense.
Die FB kappt nach 10 Minuten Inaktivität den WAN connect (Ja, ich will es so)
Wenn intern nichts los ist, sollte auch kein WAN Connect aufgebaut werden.
Die FB hält sich hieran; das klappt auch mit dem ganzen Geraffel hinter der Opnsense.
Aber, seit geraumer Zeit- bzw. seit irgendeinem Update der Opensense-
muss irgendwas zu völlig unterschiedlichen Zeiten ab und zu raus funken.

Folgendes- sehr gekürzt- habe ich schon getestet:

FB+Opensense+Geraffel -> geht was raus
FB+Opensense+Geraffel minus NTP-> geht was raus
FB+Opensense -> geht was raus
FB+Opensense minus NTP-> geht was raus
FB plus NTP- > geht nix raus
FB pur -> geht nix raus

Nun möchte ich aber wissen was da angefragt wird
und mal über Nacht/ Arbeitstag den Traffic vom WAN Capturen.

Wie mach ich das?
Über eine kleine Tip-Übung würde ich mich sehr freuen ;-)


Grüsse
Rainer

Servus,

ich habe hier- vereinfacht- folgenden Aufbau:

Fritzbox
-> Opnsense (4Nics) 3 Netze
-> [1] Switch (Port based Vlan für die 3 Netze)
-> weitere Switche pro Netz -> Rechner

An Switch [1] hängt ein Drucker (nicht Vlan fähig).
Nun sollen alle Rechner aus den 3 Netzen, auf diesen einen Drucker zugreifen können.
Einen "Druckerport" am Switch[1] als Member der drei port-based Netze hilft wenig.
Reines taged-based VLAN hilft, siehe Druckereigenschaft, auch nicht.

Hat jemand eine Idee wie, bzw. wohin ich Ihn packe, damit alle zugreifen können?


Grüsse
Rainer

... und frohe Weihnachten

besonders an unser erfolgreiches Team ;-)

HoHo, Hooo
Rainer

Servus,

kann es sein, dass die update url von suricata nicht mehr stimmt?
Im syslog steht was von:
> download failed for https://rules.emergingthreats.net/open/suricata/rules/decoder-events.rules

imho gibt es unter <https://rules.emergingthreats.net/open/> aber kein "/suricata/".

Oder lieg ich hier falsch?

greetz
Rainer

Servus,

gegeben ist OSv.16.7.4, mit- logischer Weise- den aktuellen Suricata Rulesets.

Wenn ich in der GUI nun zu den einzelen Rules gehe:
Services > Intrusion Detection > Rules

Und dort rechts oben filter, z.B. nach
Classtype: trojan-activity
Action: Alert
Anzahl:1000

Sehe ich eine Liste der Rules
und kann jeder Einzelnen über den "info" button
dem flag "Action" > "Alert" oder "Block" zuweisen.

Gibt es eine Möglichkeit gleich alle Rules mit dem gewählten Classtype von Alert auf Block zu setzen,
oder muss ich jede Einzelne, von meinen z.Zt. 10393 händisch umsetzen?

greetz
Rainer

Hi,

ich wollte schon das "os-intel-em" e1000-7.6.2-stock plugin draufspielen,
aber Intel sagt: "...EXCEPT FOR 82575/6, 82580, I210/1, and I350-based gigabit network connections" (*).

Evtl. überlegt sich ja noch jemand dieses plugin zu installieren und steht vor der selben Frage.

Grüsse
Rainer

(*) https://downloadcenter.intel.com/download/17509/Intel-Network-Adapter-Gigabit-Base-Driver-for-FreeBSD-?product=50488

Servus,

an der ein- oder anderen Stelle ist das Updateintevall ja einstellbar und in der gui per cron steuerbar.
Spamhaus- und bogon updates sind imho nicht genau zu definieren, bzw. ich hab noch nichts gefunden.

Was kann ich tun, diese auf Tag und Uhrzeit fest zu nageln?

greetz
Rainer

P.S.: damits keine zwei threads braucht. Beim ProxyACLUpdate kommt bei mir sowas:

----
00:05:41    configd.py: unable to sendback response [OK ] for [proxy][fetchacls][None] {c4718b4c-73f3-4cf0-8f51-80dff310efe1}, message was Traceback (most recent call last): File "/usr/local/opnsense/service/modules/processhandler.py", line 202, in run self.connection.sendall('%s\n' % result) File "/usr/local/lib/python2.7/socket.py", line 228, in meth return getattr(self._sock,name)(*args) error: [Errno 32] Broken pipe

00:05:18    configd.py: unable to sendback response [OK ] for [ids][update][None] {10e24fad-73f0-427a-8db2-f054858a8d4b}, message was Traceback (most recent call last): File "/usr/local/opnsense/service/modules/processhandler.py", line 202, in run self.connection.sendall('%s\n' % result) File "/usr/local/lib/python2.7/socket.py", line 228, in meth return getattr(self._sock,name)(*args) error: [Errno 32] Broken pipe

00:05:00    configd_ctl.py: error in configd communication Traceback (most recent call last): File "/usr/local/opnsense/service/configd_ctl.py", line 65, in exec_config_cmd line = sock.recv(65536) timeout: timed out

00:05:00    configd_ctl.py: error in configd communication Traceback (most recent call last): File "/usr/local/opnsense/service/configd_ctl.py", line 65, in exec_config_cmd line = sock.recv(65536) timeout: timed out

00:03:00    configd.py: [10e24fad-73f0-427a-8db2-f054858a8d4b] update and reload intrusion detection rules

00:03:00    configd.py: [c4718b4c-73f3-4cf0-8f51-80dff310efe1] download and reload proxy ACLs from remote locations
---

Ne Idee wo ich suchen muss?

Servus,

ich hab hier ein schnuckeliges Board von Jetways in das man auch mPCI Karten reinstöpseln kann.
Tat ich auch, und zwar eine Atheros 928x, oder komplizierter: card=0xe006105b chip=0x002a168c.

Einbinden und Konfigurieren lässt sich ath ja schon, nur zickt alles mögliche.

z.B. rekeying, nur Kanal 6, DHCP schmiert ab, quasi autoentschlossene reboots etc.

Kennt das jemand von euch?

greetz
Rainer

Servus,

Die Updates der IDS Rules kann man ja prima über die GUI anlegen,
danach zwar hier nicht mehr bearbeiten, aber als cronjobs in der CLI.

Irgendwann fand ich auch einen Scheduler für die Bogons in der GUI.
Das macht er nun auch brav. Allerdings ist das eben kein cronjob und ich finde den Scheduler nimmer.

Hat jemand nen Blassen _wo_ ich den justieren kann?

Grüsse
Rainer