Messages

Perfekt, danke, jetzt schaut es schon besser aus ;-)

Ein ganzer Haufen ;-)

Code Select Expand

drwxr-xr-x   7 root   wheel   1.5K May  4 03:01 .
drwxr-xr-x  31 root   wheel   512B Apr  4 03:59 ..
-rw-r-----   1 root   wheel   153K Apr 13 17:43 acme.sh.log
drwxr-xr-x   2 root   wheel   512B Mar  5 15:09 bsdinstaller
-rw-------   1 root   wheel   500K May  4 17:17 configd.log
-rw-------   1 root   wheel   500K May  4 17:24 dhcpd.log
-rw-------   1 root   wheel    65K May  4 03:01 dmesg.today
-rw-------   1 root   wheel    65K Apr 23 03:01 dmesg.yesterday
-rw-------   1 root   wheel   500K Mar  8 22:35 dnsmasq.log
-rw-------   1 root   wheel   500K May  4 17:25 filter.log
-rw-------   1 root   wheel   1.9G May  4 17:25 flowd.log
-rw-------   1 root   wheel    11M Apr  3 18:53 flowd.log.000001
-rw-------   1 root   wheel    11M Apr  3 16:18 flowd.log.000002
-rw-------   1 root   wheel    11M Apr  3 13:05 flowd.log.000003
-rw-------   1 root   wheel    11M Apr  3 10:28 flowd.log.000004
-rw-------   1 root   wheel    11M Apr  3 02:30 flowd.log.000005
-rw-------   1 root   wheel    11M Apr  2 21:03 flowd.log.000006
-rw-------   1 root   wheel    11M Apr  2 18:30 flowd.log.000007
-rw-------   1 root   wheel    11M Apr  2 16:12 flowd.log.000008
-rw-------   1 root   wheel    11M Apr  2 13:00 flowd.log.000009
-rw-------   1 root   wheel    11M Apr  2 09:38 flowd.log.000010
-rw-------   1 root   wheel   500K Apr 22 19:17 gateways.log
-rw-------   1 root   wheel   500K May  4 17:25 haproxy.log
-rw-------   1 root   wheel   500K Apr 22 19:17 ipsec.log
-rw-r--r--   1 root   wheel     0B May  4 17:09 lastlog
drwx------   2 www    www     512B Jan 22 02:25 lighttpd
-rw-------   1 root   wheel   500K May  3 17:24 lighttpd.log
-rw-------   1 root   wheel   130B Mar  7 03:01 mount.today
drwxr-xr-x   2 root   wheel   512B Mar  5 15:06 ntp
-rw-------   1 root   wheel   500K Apr 22 19:17 ntpd.log
-rw-------   1 root   wheel   500K May  4 17:25 openvpn.log
-rw-------   1 root   wheel   500K Mar  5 15:06 portalauth.log
-rw-------   1 root   wheel   500K Mar  5 15:06 ppps.log
-rw-------   1 root   wheel   500K May  4 17:17 resolver.log
-rw-------   1 root   wheel   500K May  4 17:17 routing.log
-rw-------   1 root   wheel   2.7K May  4 03:01 setuid.today
-rw-------   1 root   wheel   2.7K Apr 12 03:01 setuid.yesterday
drwxr-x---   2 squid  squid   512B Jan 22 02:36 squid
-rw-------   1 root   wheel   500K Mar  5 15:06 squid.syslog.log
drwx------   2 root   wheel   512B May  4 00:00 suricata
-rw-------   1 root   wheel   277B Mar 11 11:10 suricata.log
-rw-r-----   1 root   wheel   935B Mar 11 00:00 suricata.log.0
-rw-r-----   1 root   wheel   465B Mar 10 00:00 suricata.log.1
-rw-r-----   1 root   wheel   928B Mar  9 00:00 suricata.log.2
-rw-r-----   1 root   wheel   4.6K Mar  8 00:00 suricata.log.3
-rw-------   1 root   wheel   500K Mar  5 15:06 suricata.syslog.log
-rw-------   1 root   wheel   500K May  4 17:17 system.log
-rw-------   1 root   wheel   113K May  4 17:16 userlog
-rw-r--r--   1 root   wheel   394B May  4 17:09 utx.lastlogin
-rw-r--r--   1 root   wheel   1.3K May  4 17:09 utx.log
-rw-r--r--   1 root   wheel   185K Apr 22 19:17 vmware-vmsvc.log
-rw-------   1 root   wheel   500K Mar  5 15:06 vpn.log
-rw-------   1 root   wheel   500K Mar  5 15:06 wireless.log


und

Code Select Expand

-rw-r-----  1 root  wheel   564K May  4 17:27 eve.json
-rw-r-----  1 root  wheel   1.1G May  3 02:00 eve.json.0
-rw-r-----  1 root  wheel   2.1M Apr 29 23:00 eve.json.1
-rw-r-----  1 root  wheel   4.2M Apr 22 23:00 eve.json.2
-rw-r-----  1 root  wheel    72M Apr 15 23:00 eve.json.3
-rw-r-----  1 root  wheel    40M May  4 17:27 stats.log
-rw-r-----  1 root  wheel    55M May  4 00:00 stats.log.0
-rw-r-----  1 root  wheel    54M May  3 00:00 stats.log.1
-rw-r-----  1 root  wheel    54M May  2 00:00 stats.log.2
-rw-r-----  1 root  wheel    54M May  1 00:00 stats.log.3
-rw-r-----  1 root  wheel    54M Apr 30 00:00 stats.log.4
-rw-r-----  1 root  wheel    54M Apr 29 00:00 stats.log.5
-rw-r-----  1 root  wheel    54M Apr 28 00:00 stats.log.6


Viele Grüße
doc

Moin,
erstmal Danke für Eure Antworten - das #du -hd 1 / hat mich wie von euch prognostiziert ins var/log gebracht:

4.0K    /var/log/lighttpd
1.6G    /var/log/suricata
4.0K    /var/log/ntp
28K    /var/log/bsdinstaller
4.0K    /var/log/squid
3.7G    /var/log

Was würdet ihr mir denn raten? Grundsätzlich fände ich es schon toll, wenn ich möglichst viele Protokolle habe, um auch mal recherchieren zu können, wenn etwas scheps geht. 
Also das Abschalten über System -> Einstellungen -> Protokollierung ist keine Option für mich.  Und was das mit RAM-Disk bedeutet übersteigt leider meine Linux-BSD-Kenntnisse ;-)
Viele Grüße
doc

Hallo zusammen,
nachdem meine Festplatte langsam volläuft (86% / [ufs] (5,4G/6,8G)) und ich irgendwie nicht finde, wie ich das in den Griff bekomme, hätte ich zwei Fragen:

• Kann ich irgendwo einstellen, dass Logs nach X Tagen verworfen werden? Zudem habe ich die NetFlow Aufzeichnung aktiviert, aber auch da finde ich keine Einstellung, nach wie viel Tagen das verworfen wird. Eine andere Ursache kann ich mir kaum vorstellen, bin aber für jeden Tipp dankbar, wie ich das herausfinden kann.
• Macht es Sinn, die Festplatte zu vergrößern? Ich kann die ja über ESXi (darauf läuft mein OpenSense) vergrößern, aber dann muss ich ja sicher noch in Opensense / BSD den neuen Speicher formatieren. Gibt es da eine Anleitung dazu?

Viele Grüße
doc

Tja, nachdem mein Nextcloud jetzt gerade ohne Schluckauf funktioniert bin ich wunschlos glücklich ;-)
Aber Danke der Nachfrage, wenn es wieder spinnt, melde ich mich!
Viele Grüße!

Hi,
das hatte ich auch schon durchgearbeitet ;-)
Im Endeffekt will ich einfach Nextcloud über den Proxy betreiben. Aber mir geht es wie den anderen - mal geht es, mal nicht. Da es seit heute früh wieder funktioniert, bin ich glücklich  :D

Hi, hat jemand schon das Problem lösen können? Bei mir ist es genau das gleiche - die Anmeldeoberfläche erscheint, aber nach 30 Sekunden ist timout...
Viele Grüße
doc

PS: wenn ich mich ohne HaProxy im LAN direkt auf dem Server anmelde, funktioniert alles einwandfrei. Auch meine anderen Anwendungen laufen über HaProxy einwandfrei. Im Log von HaProxy habe ich noch diesen Hinweis gefunden: Connection closed during SSL handshake
Macht da nextcloud irgendetwas anders? Denn meine anderen Anwendungen von außen laufen auf das gleiche Apache Backend mit dem gleichen lokalen SSL-Zertifikat, aber da gibt es keine Probleme.

top, danke!

Tja, der Fraenki hat leider PMs geblockt  :'(. Hoffentlich stolpert er dann mal hier drüber...

Top, danke!

BTW: das Tuturial gibt dem HAProxy noch ne Zusatzfunktion: (D)DoS-Verstärker (ist zwar nicht offensichtlich aber ist so -> Retransmissions)

Ok, großer Bahnhof für mich (nix verstehen) - aber ich werde mich einlesen. Zudem werden ich hier meine Ergebnisse noch posten, das Thema wird doch immer mal wieder angefragt. Wird aber ein bisschen dauern, gerade spiele ich mal mit der API. Genial ;-)

Wie finde ich denn denn @freanki... im Search for Members kommt mit und ohne @ am Anfang kein Ergebnis...

Hm, meine Träume platzen wie Seifenblasen ;-)
Aber nachdem ich nie ein Performance-Problem haben werde, weil nur zwei APIs mit Basic Auth über den HAProxy laufen und das ganze noch dazu auf einem aktuellen Xeon betrieben wird, sollte das klappen. Ich bin ja nur so ein überambitionierter und it-affiner Heimanwender  ;D
Dann frage ich mal den @freanki nach dem X-Header...

Hi,
vielen Dank für die ausführliche Antwort. Weißt du zufällig hinter welcher neuen "Überschrift" sich das X-Header-For versteckt? Ich habe mal die aktuellen Möglichkeiten beim Frontend (jetzt Virtual Services->Public Services) man angehängt.

Die IP würde ich nämlich gerne durchreichen, um dann auf dem Server mit Fail2ban entsprechende Brute-force Angriffe zu unterbinden.

Wird vermutlich wenig Erfolg versprechen, weil die Requests alle mit der IP des Load-Balancers ankommen. Du solltest hier eher auf die API für die Aliase warten, damit das sinnvoll geht - dann musst du allerdings immer noch drauf hoffen, dass wer ein Modul bzw. einen Wrapper dafür schreibt

Doch, das geht mit ein paar kleinen Anpassungen, dazu habe ich was gefunden ;): https://centos.tips/fail2ban-behind-a-proxyload-balancer/
Bis es eine API für Aliase gibt, werde ich das mal so machen (und neben der Sperrung der IP  auf dem Backend auch die so ermittelte IP an Cloudflare zur Sperrung geben (das geht da über die API, da meine Domain über Cloudflare läuft und Fail2Ban eine Action dafür hat). Ist mal besser als nix und dann schauen wir mal, wie die API von OpnSense vorankommt (eine echt suuuper Möglichkeit, da freue ich mich wie ein Schnitzel).

EDIT: HA, einfach genial - guck mal: https://github.com/fvanroie/PS_OPNsense/wiki/API-Commands
Es gibt eine API für HAProxy. Also werde ich eine IP SRC = Condition mit Regel http deny machen und versuchen, die src über die API mit Fail2Ban zu füttern ;-) Ich hoffe ich finde mal demnächst die Zeit dafür. Jetzt muss aber erstmal dieser X-header-for her  ::)

Hallo zusammen,
ich habe mittlerweile einen HAProxy zum Laufen gebracht und hätte gerne, dass er die Client-ID an das Backend weiterreicht. In einer früheren Version gab es wohl bei der Config des Frontends die Option X-Forward-for header (sh. https://wiki.opnsense.org/manual/how-tos/haproxy.html) - aber die gibt es nicht mehr.

Die IP würde ich nämlich gerne durchreichen, um dann auf dem Server mit Fail2ban entsprechende Brute-force Angriffe zu unterbinden.

Aber vielleicht hat jemand auch eine andere Idee/Hilfestellung zum Erbasteln:
Wesentlich schöner wäre natürlich eine Möglichkeit, das direkt auf der OPNSense zu tun, aber wie ich die ganzen Posts verstanden habe, gibt es kein Fail2Ban für die OPNSense. Die Authentifikation könnte man nämlich wohl auch gleich am HAProxy einstellen und quasi vorlagern. Deswegen würde ich das jetzt erstmal mit der IP Weiterleitung im Header machen, dann über fail2ban auf dem Backendserver die IP bei cloudflare sperren lassen, da gibt es eine entsprechende Action. Aber die unterbindet natürlich nicht Angriffe, wenn jemand direkt auf meine IP geht, deswegen wäre dann mein nächster Schritt zu schauen, ob ich das irgendwie über die API von OPNSense hinbekomme. Da habe ich mich aber noch zu wenig damit beschäftigt, step by step ;-)

Viele Grüße
doc

Hi,
I have defined 3 conditions and some corresponding rules, but it does not work how expectet:
Condition 1: if path matches /test  -> Rule 1 use backend 1
Condition 2: if path matches /othertest  -> Rule 2 use backend 1
Condition 3: if SSL/TLS connection established
=> Rule 3 "Redirect": UNLESS Condition 1, Condition 2, Condition 3; logical operator OR  then http-request redirect prefix https://www.google.de (I want to redirect all traffic if not ment for one of my Servers and if not SSL)

And I have a frontend where I activate all 3 rules.
Result: Rule 1 and 2 work, but Redirect does not work, if I use https://myserver/notest I get a 503 Service Unavailable instead of a redirect.
Has anyone an idea what goes wrong?
Best regards
doc