Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - dvmade

#1
Hi forum,
I setup a custom ruleset like in the topic https://forum.opnsense.org/index.php?topic=7209.0 described.
The rule is updated (new timestamp in Download tab) but never shown in the 'Rules' tab.

Inside a use a copy of Stream excessive retransmission ruleset to check if rule is working.
But unfortunately not.


alert tcp any any -> any [2021:2027] msg:"Port to PLC used"; classtype:bad-unknown; sid:8010001; rev:1;
alert tcp any any -> any any (msg:"TOK STREAM excessive retransmissions"; flowbits:isnotset,tcp.retransmission.alerted; flowint:tcp.retransmission.count,>=,10; flowbits:set,tcp.retransmission.alerted; classtype:protocol-command-decode; sid:8810054; rev:1;)


Does anybody has an idea?

Edit: Also the manual definition as file in /usr/local/etc/suricata/rules/ is not working
Edit: I solved it by using untangle. It fits percfect as transparent bridge and the free Apps are enough for my tests

Greets
dvmade
#2
Quote from: dcol on February 08, 2018, 12:41:15 AM
There may be some who cringe at this post, but I find that adding custom IDS rules is a much needed addition to OPNsense and here is a tutorial on how to accomplish it.

You are right. This is exactly what I'm searching for.
I setup a transparent filtering bridge and with this option I can alert/drop traffic on my special needs.
Thanks a lot for this tutorial.

Greets
dvmade
#3
Ich habe bis jetzt einen Workaround gefunden:

1. Die Verbindung wird durch eine Pass Regel mit Statustyp 'none' erlaubt
2. Verbindung wird aufgebaut - Telegrammaustausch erfolgt
2. Nach einer gewissen Zeit deaktiviere ich die Regel wieder
#4
Hallo Forum,
ich habe eine Situation, in der ich den Netzwerkverkehr zwischen zwei Teilnehmern - Server und Client - beeinflußen muss.
Das heißt zum Beispiel, es dürfen nur Pakete vom Server zum Client aber keine zurück - also OneWay.
Es kann evtl. aber auch bedeuten, dass ich zu Beginn (Handshake) etwas zulassen muss und anschließend blockieren...

Erlaubt:
Server --->--- Client

Geblockt:

Server ---<--- Client

Also quasi so:
Server --->|--- Client

Irgendwie steh ich auf dem Schlauch. Ich dachte ich kann es mit Stateless - Statustyp 'none' - lösen, war aber nicht erfolgreich. Auch mit Regeln hatt ich noch keinen Erfolg.
Hat jemand Ideen, wie hier das Zusammenspiel der verschiedenen Optionen aussehen muß?

Danke und Grüße
dvmade


Edit: Beschreibung erweitert
#5
Hallo franco,
eigentlich genau das Gegenteil - das war mein Gedanke.
Aber die Frage ist beantwortet nur mein Problem nicht.
Werde ein separaten Thread erstellen.

Trotzdem Danke und Grüße
dvmade
#6
Hallo franco,
danke für den Hinweis. Da habe ich garnicht reingeschaut
Leider bleibt die Verbindung trotz 'none' für beide Richtungen bestehen.

Ist-Zustand:
Server baut Verbindung zu Steuerung auf, also Quell-Socket zu Ziel-Socket mit der Option 'none' ist in einer Allow-Rule konfiguriert
#7
Hallo Forum,
ich habe einen speziellen Anwendungsfall (Transparent Filtering Bridge) der OPN-Sense, und sollte sie im Modus Stateless betreiben um gezielt Regeln anlegen und aktivieren zu können.

Ist dies mit der 18.1.5 möglich?

Danke und Grüße
DVMade