"Recent posts
#1
French - Français / Re: Redirections HTTP, HTTPS, ...
Last post by nuxbsd - Today at 03:54:19 PMCe qui ne fonctionne pas
> à partir d'une IP publique vers le LAN > Résolu
J'utilise donc pure-ftpd sur une machine FreeBSD dans le LAN qui doit pouvoir être accessible pour des alertes de caméras 4G car j'ai un rucher éloigné et j'aime savoir ce qu'il s'y passe. :-)
Voilà ce que j'ai fait pour résoudre l'erreur suivante:
Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
1. Sur le serveur > pure-ftpd.conf
PassivePortRange 30000 62000
2. Sur OPNSense
You cannot view this attachment.
Info: la réflexion NAT s'active automatiquement lors de la création de chaque règle.
Bien à vous.
#2
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by _tribal_ - Today at 03:48:08 PMQuote from: Serg on Today at 10:50:20 AMВот бы разработчики opnSense и pfSense создали пакет. Тогда бы интеграция была полная.не в разработчиках opnsense дело это особенности работы именно freebsd и нежелание разработчиков sing-box это править, а так в портах sing-box есть и доступен для установки, правда в UI его не будет.
#3
German - Deutsch / Re: FireHOL IP-Blocklisten per...
Last post by juergen2025 - Today at 03:03:07 PMHallo,
danke für den Hinweis, verstanden 👍
Mir ist bewusst, dass die Richtung immer aus Sicht der Firewall zu sehen ist.
Aktuell blockiere ich die IPs aus der FireHOL-Blockliste bereits am WAN für eingehenden Traffic (in).
Zusätzlich möchte ich ausgehenden Traffic (out) blockieren, damit interne Clients keine Verbindungen zu IPs aus der Blockliste aufbauen können, falls diese z. B. durch DNS, bestehende Sessions oder andere Wege erreicht werden.
Ziel ist also:
WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren
LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren
Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.
danke für den Hinweis, verstanden 👍
Mir ist bewusst, dass die Richtung immer aus Sicht der Firewall zu sehen ist.
Aktuell blockiere ich die IPs aus der FireHOL-Blockliste bereits am WAN für eingehenden Traffic (in).
Zusätzlich möchte ich ausgehenden Traffic (out) blockieren, damit interne Clients keine Verbindungen zu IPs aus der Blockliste aufbauen können, falls diese z. B. durch DNS, bestehende Sessions oder andere Wege erreicht werden.
Ziel ist also:
WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren
LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren
Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.
#4
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by Erhesar - Today at 02:55:42 PMЕще заметил, что sing-box в режиме auto_route при падении линка на шлюзе и последующем восстановлении не апдейтит состояния, то есть его нужно перезагружать, иначе он будет долбиться в пустоту. Наверное можно придумать какой-то скрипт и механизм отслеживания состояния шлюза чтоб оно запускало перезапуск, но я пока не настолько шарю в этом. Но как по мне в этом решении все же слишком много НО что бы использовать его стабильно. Может у кого-то есть опыт настройки и запуска голого sing-box?
я так понимаю эта солянка собрана вокруг этого пакета Vincent-Loeng
я так понимаю эта солянка собрана вокруг этого пакета Vincent-Loeng
#5
German - Deutsch / Re: FireHOL IP-Blocklisten per...
Last post by viragomann - Today at 02:28:09 PMHallo,
nicht ganz.
Die Richtung sollte "in" sein.
Die Richtung ist immer aus Sicht der Firewall zu sehen und auf den gesetzten Schnittstellen möchtest eingehenden Traffic mit Ziel Blockliste blockieren.
nicht ganz.
Die Richtung sollte "in" sein.
Die Richtung ist immer aus Sicht der Firewall zu sehen und auf den gesetzten Schnittstellen möchtest eingehenden Traffic mit Ziel Blockliste blockieren.
#6
German - Deutsch / FireHOL IP-Blocklisten per Out...
Last post by juergen2025 - Today at 02:15:29 PMHallo zusammen,
ich möchte kurz prüfen lassen, ob mein Ansatz grundsätzlich korrekt ist.
Ziel:
FireHOL-IP-Blocklisten (bzw. daraus erstellte Aliase) sollen zentral für ausgehenden Traffic blockiert werden, damit interne Clients keine Verbindungen zu bekannten bösartigen IPs aufbauen können.
Aktueller Aufbau
Alias
Typ: Host(s)
Beispielname: BLOCK_IPS
Inhalt:
FireHOL-IP-Blocklisten + Manuelle IP Blockierung
Globale Firewall-Regel
Aktion: Block
Schnell: aktiv
Schnittstellen: LAN, OPT1, OPT2
Richtung: out
IP-Version: IPv4
Protokoll: any
Quelle:
LAN Netzwerk
OPT1 Netzwerk
OPT2 Netzwerk
Ziel: Alias (FireHOL / BLOCK_IPS)
Zielport: beliebig
Logging: aktiviert
Meine Frage
👉 Ist das der korrekte Weg, um FireHOL-IP-Blocklisten für Outbound-Traffic umzusetzen?
ich möchte kurz prüfen lassen, ob mein Ansatz grundsätzlich korrekt ist.
Ziel:
FireHOL-IP-Blocklisten (bzw. daraus erstellte Aliase) sollen zentral für ausgehenden Traffic blockiert werden, damit interne Clients keine Verbindungen zu bekannten bösartigen IPs aufbauen können.
Aktueller Aufbau
Alias
Typ: Host(s)
Beispielname: BLOCK_IPS
Inhalt:
FireHOL-IP-Blocklisten + Manuelle IP Blockierung
Globale Firewall-Regel
Aktion: Block
Schnell: aktiv
Schnittstellen: LAN, OPT1, OPT2
Richtung: out
IP-Version: IPv4
Protokoll: any
Quelle:
LAN Netzwerk
OPT1 Netzwerk
OPT2 Netzwerk
Ziel: Alias (FireHOL / BLOCK_IPS)
Zielport: beliebig
Logging: aktiviert
Meine Frage
👉 Ist das der korrekte Weg, um FireHOL-IP-Blocklisten für Outbound-Traffic umzusetzen?
#7
French - Français / Re: Redirections HTTP, HTTPS, ...
Last post by nuxbsd - Today at 01:58:59 PMBonjour tout le monde,
J'ai réglé le problème:
Ce qui ne fonctionne pas
> à partir d'une IP LAN vers l'IP publique de OPNsense: > Résolu :-)
Ce que j'ai fait:
- Décoché: Bloquer les réseaux privés
You cannot view this attachment.
- Coché: Réflexion pour les transfert de port + NAT sortant automatique pour Réflexion
You cannot view this attachment.
-J'ai réécris les règles de redirection NAT
You cannot view this attachment.
Sur chaque redirection de l'interface WAN j'ai activé l'option Réflexion NAT
You cannot view this attachment.
Concernant la redirection FTP j'ai maintenant une erreur:
Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
Bizarre car comme je l'ai dit dans mon premier post, je n'ai pas changé la config du serveur pure-ftpd.
J'ai réglé le problème:
Ce qui ne fonctionne pas
> à partir d'une IP LAN vers l'IP publique de OPNsense: > Résolu :-)
- depuis une machine de mon LAN je n'arrive pas à accéder aux service 80 et 43 à partir d'une l'ip publique
Ce que j'ai fait:
- Décoché: Bloquer les réseaux privés
You cannot view this attachment.
- Coché: Réflexion pour les transfert de port + NAT sortant automatique pour Réflexion
You cannot view this attachment.
-J'ai réécris les règles de redirection NAT
You cannot view this attachment.
Sur chaque redirection de l'interface WAN j'ai activé l'option Réflexion NAT
You cannot view this attachment.
Concernant la redirection FTP j'ai maintenant une erreur:
Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
Bizarre car comme je l'ai dit dans mon premier post, je n'ai pas changé la config du serveur pure-ftpd.
#8
General Discussion / Re: TUI for viewing and analys...
Last post by allddd - Today at 01:53:17 PMQuote from: patient0 on December 10, 2025, 10:40:00 PMQuote from: allddd on December 09, 2025, 08:32:48 PMI'm still not sure how well this will work though since the filter log directory can contain >30GB of files.What behaviour would you expect from an application in such an situation? Many apps just freeze or crash :)
Personally I would try to evaluate if the app can handle it and if not show a pop-up. Either abort with that pop-up so that the user can select less files. Or fallback to load only what you can load and let the user know what was loaded and what not.
Although the fallback is probably not a good idea since the user had an idea what she wanted to look through and then wouldn't be sure what is included and what not. It is probably better to let the user know and abort so she knows that it will require two steps to look through all files.
I recently got around to doing some benchmarking/profiling of the stream package, and it turns out that the code I added early on to save memory (back when I thought it was a good idea to load everything into memory :D) was actually making everything way slower.
I swapped that code out and replaced some of Go's built ins with faster/simpler functions, and now the performance is much better. A log file with a few million lines now gets indexed almost instantly, and filtering is much much faster than before.
Here are some benchmarks of the function that parses the logs:
before:
Code Select
BenchmarkParse-2 3287289 1102 ns/op 216 B/op 11 allocs/op
after:
Code Select
BenchmarkParse-2 8188898 437.7 ns/op 160 B/op 1 allocs/op
Once I finish refactoring the TUI, I'll look into adding an option to open multiple files at once. With the recent changes, the code should now easily handle multiple files or even large dirs. Also, the TUI now looks much nicer (in my opinion) and is more compact. I've also added a feature where the user can select an entry to view more details that I can't show in the default view, since the filter log contains so much info. The details view is curremtly very minimal, but I'm already working on adding all the fields from the filter log CSV to it.
If you or anyone else is interested in doing some testing, you'll need to compile the development branch for now, as I still need to make a few changes before tagging the release.
#9
25.7, 25.10 Series / Re: reboot will reset the conf...
Last post by vijay - Today at 12:54:27 PMHi All
I have already tried all steps but no luck, Just FYI I am installing opnsense in OCI cloud linux server
I have already tried all steps but no luck, Just FYI I am installing opnsense in OCI cloud linux server
#10
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by Serg - Today at 10:50:20 AMQuote from: _tribal_ on Today at 09:32:10 AM1. Я так то не про просто наличие tun он там оочень давно, а умение САМОСТОЯТЕЛЬНО создавать его использую СТАНДАРТНЫЕ механизмы ОС freebsd.Вот бы разработчики opnSense и pfSense создали пакет. Тогда бы интеграция была полная.
2. Если вы его добавляли использую указанный вами скрипт, то интерфейс там вкорячивается тупо в конфиг системы в обход механизмов ОС, это все же слегка другое. И если вы просто установите пакет sing-box без "предварительных ласк" конфига ОС, оно не стартанет, ругаясь на ошибки.
Такой вид софта без конфигов и не должен запускаться без предварительной настройки, т.к. часто его ставят в уже настроенную систему. И если б он запускался без предварительной настройки, то мог поломать работу системы.
