Topics

Hallo zusammen,

ich möchte kurz prüfen lassen, ob mein Ansatz grundsätzlich korrekt ist.

Ziel:
FireHOL-IP-Blocklisten (bzw. daraus erstellte Aliase) sollen zentral für ausgehenden Traffic blockiert werden, damit interne Clients keine Verbindungen zu bekannten bösartigen IPs aufbauen können.

Aktueller Aufbau

Alias
Typ: Host(s)
Beispielname: BLOCK_IPS
Inhalt:
FireHOL-IP-Blocklisten + Manuelle IP Blockierung



Globale Firewall-Regel
Aktion: Block
Schnell: aktiv
Schnittstellen: LAN, OPT1, OPT2
Richtung: out
IP-Version: IPv4
Protokoll: any

Quelle:

LAN Netzwerk

OPT1 Netzwerk

OPT2 Netzwerk

Ziel: Alias (FireHOL / BLOCK_IPS)

Zielport: beliebig

Logging: aktiviert

Meine Frage

👉 Ist das der korrekte Weg, um FireHOL-IP-Blocklisten für Outbound-Traffic umzusetzen?

Hallo zusammen,

ich habe ein Problem mit einer OPNsense-Installation und einem OPT2-Interface und komme aktuell nicht weiter.

Setup

OPNsense (aktuelle Version)

Interface: OPT2

Subnetz: 192.168.15.0/24

DHCP auf OPT2 aktiviert

Kein VLAN im Einsatz

NAT-Reflektion deaktiviert (Standard)

Firewall-Regeln auf OPT2 getestet:

OPT2 net → any (any)

zusätzlich OPT2 net → OPT2 net (any)

Beobachtung

Wenn ich einen PC direkt an OPT2 anschließe, erhält dieser per DHCP eine IP und hat Internetzugang.

Wenn ich jedoch andere Geräte an OPT2 anschließe, z. B.:

einen TP-Link Repeater (Access-Point-Modus) oder

einen N150 Mini-PC-Firewall-Router, auf dem ZimaOS installiert werden soll,

bekommen diese Geräte ebenfalls eine IP aus dem OPT2-Netz,
die jeweilige Weboberfläche (HTTP/HTTPS) ist jedoch nicht erreichbar.

Das Verhalten ist bei beiden Geräten identisch, daher gehe ich nicht von einem gerätespezifischen Problem aus.

Zusammenfassung

OPT2 → WAN (Internet): funktioniert

OPT2 → Geräte im gleichen Subnetz (Weboberflächen): funktioniert nicht

Fragen

Wird lokaler Verkehr innerhalb eines OPT-Interfaces von OPNsense standardmäßig eingeschränkt oder blockiert?

Reicht eine Regel OPT2 net → OPT2 net, oder fehlt eine weitere Einstellung (z. B. Interface-Optionen)?

Gibt es bekannte Besonderheiten bei lokalen Management-Zugriffen innerhalb eines OPT-Netzes?

Eine config.xml kann ich bei Bedarf zur Verfügung stellen.

Vielen Dank für eure Hilfe.

Ich habe kürzlich meine Suricata-IDS-Regeln in OPNsense angepasst und möchte wissen, ob diese Konfiguration die neuesten Bedrohungen effektiv blockiert und ob sichergestellt ist, dass die Blockierung tatsächlich aktiv erfolgt. In der aktuellen Konfiguration habe ich folgende Regelwerke verwendet: 3coresec.rules, abuse.ch.feodotracker.rules, und andere. Als Aktion habe ich 'Deaktiviert, Alarm' festgelegt, und die neue Aktion ist 'Verwerfen'.

Außerdem sind die spezifischen Regelkriterien für Produkte wie 2wcom, 3CX, ABB, ASMAX und Adobe festgelegt, und die Angriffsziele reichen von Client-Endpunkten über Server bis zu DNS-Servern. Die Bedrohungsstufen wie 'High', 'Medium' und 'Low' sowie CVE-Daten aus den Jahren 1999 bis 2025 wurden integriert. Die neue Richtlinie wurde mit der Beschreibung 'IDS Neu Eingestellt 11/2025' hinzugefügt.

Ich möchte wissen, ob diese Konfiguration in Suricata in OPNsense sicherstellt, dass die Bedrohungen tatsächlich aktiv blockiert und nicht nur alarmiert werden. Werden die aktuellsten Bedrohungen wie APTs und Malware-Familien (z.B. ACR_Stealer) ausreichend blockiert, oder sind noch Anpassungen erforderlich, um eine vollständige Sicherheitsabdeckung zu gewährleisten?

Hallo zusammen,

ich habe OPNsense 25.7 auf eine neue M.2 SSD installiert, und die Installation lief problemlos. Leider habe ich dann festgestellt, dass die neuesten Updates nicht korrekt installiert werden – sie bleiben hängen und werden nicht abgeschlossen.

Daraufhin habe ich die alte M.2 SSD wieder eingebaut, auf der bereits die neueste Version von OPNsense installiert ist, und das System funktioniert einwandfrei.

Kennt jemand dieses Problem und hat vielleicht eine Lösung, warum die Updates auf der neuen SSD nicht abgeschlossen werden? Ich würde mich über jede Hilfe freuen!

Danke im Voraus!

Titel: Suricata blockiert trotz Drop-Policy nicht – Alarmmeldung zeigt ,,allowed" (OPNsense 27.7)

Beitrag:

Hallo zusammen,

ich habe ein Problem mit Suricata unter OPNsense 27.7, das ich nicht nachvollziehen kann.

Folgendes ist eingerichtet:

IDS/IPS ist aktiviert

Die richtige Netzwerkschnittstelle ist ausgewählt

Die Suricata-Policy ist gesetzt.

Die Standardaktion ist ,,Alert"

Ich habe bei mehreren Regeln die Aktion manuell auf ,,Verwerfen (Drop)" gestellt

Die Regeln sind aktiv

Außerdem habe ich folgende Regelwerke aktiviert (siehe Screenshot):

botcc.portgrouped.rules

botcc.rules

ciarmy.rules

compromised.rules

drop.rules

emerging-* (mehrere)


Trotz dieser Einstellungen zeigt Suricata bei einem auslösenden Ereignis nur einen Alert an – aber keine Blockierung. In den Logs unter Protokolle → Suricata → Alerts steht nur allowed. Die Verbindung wird also nicht unterbrochen.

Meine Fragen:

Warum greift die Drop-Regel nicht, obwohl sie aktiv und richtig gesetzt ist?

Muss man zusätzlich noch etwas global aktivieren, damit ,,Drop" überhaupt angewendet wird?

Funktionieren Drops nur auf bestimmten Schnittstellen (z. B. nur WAN oder nur intern)?

Gibt es irgendwo Logs oder eine Debug-Ansicht, die zeigt, ob Suricata versucht zu blockieren?

Ich wäre sehr dankbar für Hinweise oder eine kurze Erklärung, falls ich etwas übersehen habe.

Viele Grüße

💡 Verbesserungsvorschlag: Benutzerfreundlichere Oberfläche für Suricata-Regeln
Hallo zusammen,

ich arbeite aktuell viel mit dem Intrusion Detection System in OPNsense (Suricata) und finde die Verwaltung der Regeln über die sid-basierte Liste leider recht unübersichtlich – besonders wenn man viele Regeln prüfen, anpassen oder gruppieren möchte.

👉 Deshalb habe ich ein neues UI-Konzept entwickelt, das auf der bestehenden OPNsense-Oberfläche basiert, aber deutlich benutzerfreundlicher ist.

🔧 Ziel:
Kein Umgang mehr mit sid-Nummern

Regelverwaltung per Klick (Aktivieren/Deaktivieren über Schalter)

Übersichtliche Darstellung mit Kategorien, Quellen und Beschreibung

Filter & Gruppierung direkt im Interface

Konform mit dem bestehenden UI-Stil von OPNsense

📷 Vorschau (Mockup):


🧠 Features des Vorschlags:
Schieberegler zum schnellen Aktivieren/Deaktivieren von Regeln

Filter nach Kategorie, Quelle, Status (aktiv/inaktiv) etc.

Tooltips und Spalte "Beschreibung" für mehr Kontext zu jeder Regel

Gruppieren nach Regelquelle oder Klassentyp

Details-Button für mehr Infos und evtl. Notizen

💬 Was haltet ihr von dieser Idee?
Gibt es bereits Projekte/Plugins, die in diese Richtung gehen?
Würde es Sinn machen, sowas als Plugin oder offizielles Feature vorzuschlagen?

Ich freue mich auf euer Feedback!

Viele Grüße

Sehr geehrtes OPnsense-Team,

ich möchte einen dringenden Praxiswunsch äußern, der sich aus dem täglichen Einsatz von Suricata (z. B. in Kombination mit OPNsense) ergibt:
Die aktuelle Regelverwaltung ist für Administratoren im Alltag kaum praktikabel.

Aktuelle Herausforderungen:
Die Oberfläche zeigt lediglich SID-Nummern oder kryptische Regeltexte.

Es fehlen Klartextbeschreibungen, Angaben zu betroffenen Systemen, Schweregrad oder Aktualität.

Veraltete Regeln sind nicht erkennbar – es gibt keinerlei Hinweise.

Es ist nicht möglich, nach aktuellen Bedrohungen oder CVEs zu filtern oder zu priorisieren.

Ein Beispiel aus meiner Installation (Kategorie "exploit") zeigt das Problem deutlich:


2000048    ET EXPLOIT CVS server heap overflow attempt (target Linux) 
2003378    ET EXPLOIT Mobile Backup Service Stack Overflow 
2010375    ET EXPLOIT Oracle ctxsys.drvxtabc.create_tables SQL Injection 

Ob diese Regeln kritisch, veraltet oder überhaupt relevant für mein Netzwerk sind, bleibt völlig unklar – selbst für erfahrene Nutzer ist das ohne externe Recherche unbrauchbar.

Mein Vorschlag:
Bitte gestalten Sie die Regelverwaltung benutzerfreundlich – nach dem Vorbild von Zenarmor, wo Regeln intuitiv über eine übersichtliche Oberfläche aktiviert/deaktiviert werden können – per einfachem Klick.

Konkret wünsche ich mir:

Klartextbeschreibung (msg) direkt sichtbar

Verlinkung zu relevanten CVEs / Exploit-DB / MITRE

Veröffentlichungsdatum und Aktualität der Regel

Einstufung nach Schweregrad (High / Medium / Low)

Angabe betroffener Systeme (Windows, Linux, Netzwerk etc.)

Sortier- und Filtermöglichkeiten (z. B. ,,nur aktuelle Exploits anzeigen")

Ziel:
Ein Administrator sollte auf einen Blick erkennen können:

Was wird blockiert?

Wie gefährlich ist die Regel?

Betrifft sie mein Netzwerk?

Ist sie veraltet oder noch relevant?

Suricata ist technisch hervorragend – aber die Benutzeroberfläche ist aktuell ein großer Schwachpunkt.
Ich hoffe sehr, dass Sie hier nachbessern und die Regelverwaltung so intuitiv gestalten wie Zenarmor.

Vielen Dank für Ihre wertvolle Arbeit an Suricata!

Mit freundlichen Grüßen

Hallo zusammen,

ich nutze in OPNsense eine IP-Blockliste, die aktuell über 1,3 Millionen IP-Adressen enthält. Seit Kurzem erhalte ich jedoch eine Meldung, dass maximal nur 1 Million IPs gespeichert werden dürfen.

Meine Fragen dazu:

Gibt es wirklich ein festes Limit von 1 Million IPs in einer Blockliste?

Falls ja, gibt es eine Möglichkeit, dieses Limit zu erhöhen?

Oder gibt es eine bessere Methode, große IP-Listen in OPNsense zu verwalten?

Gibt es bekannte Workarounds oder alternative Ansätze (z.B. mehrere Listen, IP-Range-Kürzungen etc.)?

Vielen Dank für eure Hilfe!

Beste Grüße