Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - fabian

#2611
So könnte man es auch erklären ;)

PF arbeitet die Regeln von oben nach unten ab. Dabei werden oben die allgemeinen Regeln definiert (z. B. blockiere jeden Datenverkehr) und unten dann die spezielleren (erlaube HTTP auf Port 80). Danach kann man die Regeln noch einmal spezialisieren (z. B. einen einzelnen Host blockieren). Wenn man aber weiß, dass unten nichts mehr kommen sollte, kann man sich die weitere Verarbeitung sparen ("quick"). Die zuletzt von einer Regel gesetzte Aktion wird dann angewandt. Wenn die Regeln für die Schnittstellen nicht zutreffen, ändern sie den Status auch nicht.

PS: in den allgemeinen Einstellungen kannst du die Sprache der Konfigurationsoberfläche umstellen.
#2612
Reihenfolge: https://github.com/opnsense/core/blob/master/src/etc/inc/filter.inc#L2884

QuoteThis Firewall
   Was bedeutet das? 127.0.0.1/8 oder alle [IFACE] Adressen?

This Firewall: wird in der Konfiguration zu "self", welches alle zugewiesenen IP-Adressen enthält:
https://www.freebsd.org/cgi/man.cgi?pf.conf
https://www.openbsd.org/faq/pf/tables.html

Quote[IFACE] net
   Siehe address, aber das ganze Subnet.
   Macht das Subnet als Regel-Source überhaupt Sinn? Es ist ja durch das Subnet eh gegeben?
   Ausser bei Zugriffen per externem port-forwarding auf das [WAN] Interface (Unterscheidet Quelle WAN-net oder Internet).

Ja, wenn da zum Beispiel ein Router ohne NAT betrieben wird.

Kurze Erklärung zum Schlüsselwort quick:
PF funktioniert nach dem "last Match"-Prinzip. Mit dem Schlüsselwort "quick" wird wie bei einer "first Match"-Firewall die weitere Verarbeitung abgebrochen. Regeln für die Schnittstellen sind immer "quick".


Damit können die Floating Rules vor und nach den Regeln für Schnittstellen zutreffen.
#2613
I have not read the full post but it could be a routing issue (if you have the same network on lan and wan). In such a case it does not know that those are different networks and it can be sent to the wrong one. It could be fixed by changing the network part of the address (for example by increasing the number in the 3rd byte by one if you use a /24 network).
#2614
16.7 Legacy Series / Re: Replacing Watchguard XTM2
September 07, 2016, 06:24:46 PM
#2615
17.1 Legacy Series / Re: Idea(s) for the road map
September 07, 2016, 11:26:26 AM
The road map is now online: https://opnsense.org/about/road-map/
#2616
I am sorry but I cannot help in that case - maybe franco or ad can. Maybe they will need your /tmp/rules.debug
#2617
This should work if the AP is connected on the right interface and the device gets the right interface assigned. Can you check if you connected it to GUEST_LAN?
#2618
Sorry but I am confused about your post (I am not sure how your setup looks like). I did not have to create a single NAT rule for the usual stuff because with the default settings this works out of the box. The only NAT rules I configured are used for the transparent proxy. Filtering is done by the firewall.

Can you post your firewall rules and your NAT rules as well as the information if the private addresses are blocked?
#2619
You don't have a rule to pass the traffic so it is blocked. Look at your firewall rules ;)
#2620
I am using a self signed CA for that (should be in System > Trust). This CA signs a server certificate for the OpenVPN Server and at least one client certificate. After you set up the server you can download a configuration file generated for your client to use it with the server. This usually works. I did never use the wizard to create it. Can you retry it without the wizard?

Kind regards,

Fabian
#2621
I am not aware of such an oid but you can use the API for that.

You can find a samples here:
https://docs.opnsense.org/development/how-tos/api.html

#2622
16.7 Legacy Series / Re: DHCPv4 server API
September 01, 2016, 08:48:35 PM
The answer is no.
#2623
17.1 Legacy Series / Re: [CALL FOR TESTING] Phalcon 3.0
September 01, 2016, 10:50:47 AM
Hi Franco,

have not tested a lot with 3.0.1 but did not recognise any difference to 3.0.0.

Kind regards

Fabian
#2624
Als Plugin gibt es das nicht, aber du kannst versuchen, das mit der Squid config irgendwie hinzubekommen indem du zumindest Debian-Pakete im Cache zwischenspeicherst. Out of the Box geht das nicht.

Folgende Seiten helfen dir:
* http://www.squid-cache.org/Doc/config/refresh_pattern/
* https://forum.opnsense.org/index.php?topic=3595.msg12105#msg12105