Messages

1

Intrusion Detection and Prevention / [solved] Suricata: Custom rules will not be loaded

« on: April 26, 2018, 07:09:55 am »

Hi forum,
I setup a custom ruleset like in the topic https://forum.opnsense.org/index.php?topic=7209.0 described.
The rule is updated (new timestamp in Download tab) but never shown in the 'Rules' tab.

Inside a use a copy of Stream excessive retransmission ruleset to check if rule is working.
But unfortunately not.

Code: [Select]

alert tcp any any -> any [2021:2027] msg:"Port to PLC used"; classtype:bad-unknown; sid:8010001; rev:1;
alert tcp any any -> any any (msg:"TOK STREAM excessive retransmissions"; flowbits:isnotset,tcp.retransmission.alerted; flowint:tcp.retransmission.count,>=,10; flowbits:set,tcp.retransmission.alerted; classtype:protocol-command-decode; sid:8810054; rev:1;)

Does anybody has an idea?

Edit: Also the manual definition as file in /usr/local/etc/suricata/rules/ is not working
Edit: I solved it by using untangle. It fits percfect as transparent bridge and the free Apps are enough for my tests

Greets
dvmade

2

Tutorials and FAQs / Re: [Tutorial] Adding custom rules to Intrusion Detection

« on: April 24, 2018, 03:26:10 pm »

There may be some who cringe at this post, but I find that adding custom IDS rules is a much needed addition to OPNsense and here is a tutorial on how to accomplish it.

You are right. This is exactly what I'm searching for.
I setup a transparent filtering bridge and with this option I can alert/drop traffic on my special needs.
Thanks a lot for this tutorial.

Greets
dvmade

3

German - Deutsch / Re: Pakete nur in eine Richtung erlauben (Server->Client)

« on: March 23, 2018, 11:58:59 am »

Ich habe bis jetzt einen Workaround gefunden:

1. Die Verbindung wird durch eine Pass Regel mit Statustyp 'none' erlaubt
2. Verbindung wird aufgebaut - Telegrammaustausch erfolgt
2. Nach einer gewissen Zeit deaktiviere ich die Regel wieder

4

German - Deutsch / Pakete nur in eine Richtung erlauben (Server->Client)

« on: March 23, 2018, 07:23:14 am »

Hallo Forum,
ich habe eine Situation, in der ich den Netzwerkverkehr zwischen zwei Teilnehmern - Server und Client - beeinflußen muss.
Das heißt zum Beispiel, es dürfen nur Pakete vom Server zum Client aber keine zurück - also OneWay.
Es kann evtl. aber auch bedeuten, dass ich zu Beginn (Handshake) etwas zulassen muss und anschließend blockieren...

Erlaubt:
Server --->--- Client

Geblockt:
Server ---<--- Client

Also quasi so:
Server --->|--- Client

Irgendwie steh ich auf dem Schlauch. Ich dachte ich kann es mit Stateless - Statustyp 'none' - lösen, war aber nicht erfolgreich. Auch mit Regeln hatt ich noch keinen Erfolg.
Hat jemand Ideen, wie hier das Zusammenspiel der verschiedenen Optionen aussehen muß?

Danke und Grüße
dvmade


Edit: Beschreibung erweitert

5

German - Deutsch / Re: [gelöst] Umschaltung auf Statelessbetrieb möglich?

« on: March 23, 2018, 06:56:07 am »

Hallo franco,
eigentlich genau das Gegenteil - das war mein Gedanke.
Aber die Frage ist beantwortet nur mein Problem nicht.
Werde ein separaten Thread erstellen.

Trotzdem Danke und Grüße
dvmade

6

German - Deutsch / Re: Umschaltung auf Statelessbetrieb möglich?

« on: March 22, 2018, 03:43:29 pm »

Hallo franco,
danke für den Hinweis. Da habe ich garnicht reingeschaut
Leider bleibt die Verbindung trotz 'none' für beide Richtungen bestehen.

Ist-Zustand:
Server baut Verbindung zu Steuerung auf, also Quell-Socket zu Ziel-Socket mit der Option 'none' ist in einer Allow-Rule konfiguriert

7

German - Deutsch / [gelöst] Umschaltung auf Statelessbetrieb möglich?

« on: March 22, 2018, 03:16:36 pm »

Hallo Forum,
ich habe einen speziellen Anwendungsfall (Transparent Filtering Bridge) der OPN-Sense, und sollte sie im Modus Stateless betreiben um gezielt Regeln anlegen und aktivieren zu können.

Ist dies mit der 18.1.5 möglich?

Danke und Grüße
DVMade