Messages

Hallo zusammen,

gibt es einen eleganten "Hack" um das Firewall-Log von den ganzen, gedroppten Broadcast-Einträgen (an x.x.x.255er Adressen, bzw. mDNS 224.0.0.251/252/253, usw.) zu befreien?

Besten Dank,
mscd

Besten Dank ... noch eine kurze Rückfrage ... die passenden squid-Direktiven (vgl. http://www.squid-cache.org/Doc/config/ssl_bump/) habe ich schon mal gefunden. Hier gibts auch entsprechende/konkrete Vorschläge

https://forum.opnsense.org/index.php?topic=22235.msg105411#msg105411

... Frage für mich wäre nur noch, wird in der Standard-Squid-Conf (von OPNsense) schon auf entsprechende include-Files (wo ich die zusätzlichen statements reinpacken kann) verwiesen?

Hello Stefan,

I am woking on the same problem ... I would like to do SNI-inspection (with category filtering) for all clients ... but true SSL-inspection only for specific subnets. Did you get that working (by use of include-folders)?

Best regards,
mscd

Danke für den Tipp ... mit der NAT-Regel läuft es nun wie gewünscht.

Okay ... besten Dank ... inwieweit vertragen sich ,,händische" Ergänzungen an der squid.conf mit dem WebGUI ... ,,darf" man manuell eingreifen ... oder gibt das vorprogrammiert Stress?

Danke!
mscd

Hallo zusammen,

ist es möglich den Web-Proxy so zu konfigurieren, dass "volle" (man-in-the-middle) SSL inspection (inkl. clam AV) nur für Clients ausgewählter Subnetze durchgeführt wird.
Problem ist, dass ich generell auf allen Subnetzen bei http und https einen Kategorieren-Filter (z.B. per shallalist) einsetzen würde, nur aber bei einigen Subnetzen zusätzlich die SSL inspection, da ich nicht bei allen Clients für die Bereitstellung des entsprechenden CA-Zertifikats sorgen kann.

Schöne Grüße,
mscd

Hallo zusammen,

ich setze derzeit ein Testsetup mit zwei OPNsense-Appliances (Master/Backup-HA) auf, was soweit ganz gut klappt. Bei der Inbetriebnahme von OpenVPN bin ich nun auf das Problem gestoßen, dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).
Grund hierfür wird wohl meiner Einschätzung nach die Tatsache sein, dass die Backup-Firewall nicht "weiß" wo es die Anfragen der VPN-Clients (aus 10.200.2.0/24) zurücksenden soll, so dass dort dann einfach das Standardgateway (des WAN-Interface) genommen wird, was natürlich nicht klappen kann.

Kann mir hier jemand einen Tipp geben, wie man in einem HA-Setup eine "saubere Erreichbarkeit" von Master- und Backup-Appliance per VPN konfigurieren kann.

Schöne Grüße und besten Dank,
mscd

Also, wenn ich das richtig verstehe, meinst Du wohl dshield aus der IPS rausnehmen ... nicht reinnehmen ... und aks ersatz dafür in den Firewall-Regeln die Firehol-Liste rein, welche dann kein notify erzeugt, oder?

Hallo zusammen,

ich arbeite mich gerade seit einigen Tagen intensiver in die Möglichkeiten der OPNsense ein. Aktuell nutze ich noch zwei Sophos SG310 in einem active/active-cluster ... die XG geht meiner meiner Meinung nach alleine von der usability des Interfaces her (aus Sicht der SG) gar nicht ... aber eh egal ... da mich das OPNsense-Projekt mehr und mehr überzeugt.

Aktuell beschäftige ich mich mit dem IDS/IPS. Ähnlich der Sophos UTM würde ich gerne (für ausgehwählte) Threads ein Mail-Notify erhalten. Die Anleitung, wie man den monit-service hinsichtlich IPS-alterts konfiguriert, habe ich schon erfolgreich durchlaufen. Was mir aktuell noch nicht gefällt, ist das Verhalten von monit, dass für jeden IPS-alert über die monit-Bedingung

content = "blocked"

ein Notify erzeugt wird. IPS-Regeln wie dshield erzeugen hierbei aber dann natürlich fast minütlich eine Warnmeldung, wesshalb ich gerne wüsste, ob man die monit-Bedingung um logische Bedingungen erweitern kann.

Also in der Art ... notify NUR bei ,,blocked" aber (beispielweise) NICHT bei ,,dshield"

Ich hoffe man versteht mein Problem/Anfrage.

Schöne Grüße und besten Dank,
mscd