NAT Regel wird nicht geblockt

Started by nautilus, April 01, 2025, 02:38:19 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 01, 2025, 02:38:19 PM
Hallo zusammen,

auf der Opnsense wurde ein NAT Regel für ein SSH Server "internes Netzwerk" eingerichtet. Das klappt alles.
Der Port vom ssh Server ist die 2222 und wird auf die interne IP 192.168.50.249 weitergeleitet.

WAN = eine feste IP vorhanden.

Nun wollte ich für diese NAT Regel eine Blockliste "IP" einrichten. Diese greift leider nicht und ich komme nicht weiter.

Floating Rule ist vorhanden, die IP wird sich von einem internen Webserver geholt. www.internerwebserver/blocktestip.txt.
Da wurde ein ALIAS eingerichtet wie bei firehol1.

Die IP die ich blocken wollte, ist die von mir zu Hause, um das mal zu Testen.

Hat jemand einen Rat, wieso dass das nicht geht. Noch eine Abschliessende Frage, gibt es eine Doku, wie man im Livelock seine Eigenen Regeln erstellen kann?

vielen dank





April 01, 2025, 02:56:29 PM #1
Ist  eventuell ein State für die Verbindung bereits vorhanden, weil du es zuvor getestet hast?
Dann müsstest du diesen ggf. erst löschen.

Abgesehen davon, wäre es nicht sinnvoller, eine Whitelist für den Zugriff zu verwenden?
April 02, 2025, 11:11:29 AM #2
Hallo, bei meinem ssh server kommen täglich ssh login versuche, die ich blocken möchte.

Auf dem Server selbst ist eine UFW eingerichtet. Über ein Script lese ich mir die Failed logins raus und speijher die inm einer TXT Datei.
Code Select
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" > failure.txt
grep -E "sshd.*Failed|Invalid|Did" failure.txt | grep -v COMMAND | awk -F 'from ' '{ print $2 }' | awk '{ print $1 }' | sort | uniq -c

cat failure.txt | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq > rules.txt

cat rules.txt > "$(date "+%Y-%m-%d-%H-%M")".txt

Nun wird jeden tag eine Datei angelegt, mit den IPS!

[code]
-rw-r--r--  1 root root   96  2. Apr 05:00 2025-04-02-05-00.txt
-rw-r--r--  1 root root   54  1. Apr 05:00 2025-04-01-05-00.txt
-rw-r--r--  1 root root   54 31. Mär 05:00 2025-03-31-05-00.txt
-rw-r--r--  1 root root   54 30. Mär 05:00 2025-03-30-05-00.txt
-rw-r--r--  1 root root   68 29. Mär 05:00 2025-03-29-05-00.txt
-rw-r--r--  1 root root  107 28. Mär 05:00 2025-03-28-05-00.txt
-rw-r--r--  1 root root   81 27. Mär 05:00 2025-03-27-05-00.txt
-rw-r--r--  1 root root    0 26. Mär 05:00 2025-03-26-05-00.txt
-rw-r--r--  1 root root   14 25. Mär 05:00 2025-03-25-05-00.txt



[/code]

diese werden dann auf den Webserver kopiert. Jedoch geht das schon bei einer IP nicht?

Sinn des ganzen, ich will das mal endlich kapieren, wie ich das mache, aber egal was ich Teste, es geht einfach nicht.!

Was die Logs angeht, da blicke ich auch nicht so durch, denn ich sehe eigendlich nirgends ein error, warum diese Datei mit den IPs nicht erkannt werden. Ich habe das hier gefunden https://github.com/vivi202/firetail?tab=readme-ov-file.

Oder mal über die Console gehen, mit pfctl -vvsr usw. . Aber danke, wenn ich weiter komme, melde ich mich wieder.

liebe grüsse
April 02, 2025, 12:34:23 PM #3
Hallo, ich hatte die Regel neu erstellt und es geht jetzt! Habe mal ein Testsystem genommen.

hier das LiveLoG

Code Select
025-04-02T12:28:56    192.168.50.53:50620    192.168.1.249:22    tcp    ssh-lgin-sperren

Kann ich im Alias unter "Refresh Frequency" auch das manuell anstossen?

danke und liebe grüsse
April 04, 2025, 09:39:09 AM #4
QuoteFloating Rule ist vorhanden, die IP wird sich von einem internen Webserver geholt. www.internerwebserver/blocktestip.txt.

Was steht denn in der Datei drin?
Das Alias System kann eigentlich nur sinnvoll mit Dateien umgehen, in der ein IP/CIDR Eintrag pro Zeile drinsteht. Keine Zusatzzeichen oder sonstwas. Und ein Protokoll wäre auch sinnvoll, also http:// oder https://

Cheers
\jegr
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
April 07, 2025, 07:26:58 AM #5
Guten morgen,

die datei liegt auf einem internen Webserver http://192.168.50.249/sshblock.txt
die Ipadressen sind untereinander eingetragen.

Was mich verwundert, auf dem Port 22 klappt die Regel, aber bei dem Port 60022 nicht!
Ich bin noch zu Hause, wenn ich später ins Büro komme, melde ich mich nochmal.

Wie kann ich in diesem Forum Bilder direkt hochladen?

Vielen dank für deine Antwort, ich hatte das ganze Wochenende getestet, aber es klappt einfach nicht mit dem Port 60022!
Das ist der Port für den SSH Zugang.

In der Diagnose sind alle IPs enthalten, Ich schreibe später etwas ausführlicher, die Regel musste ich wieder deaktivieren, da plötzlich der interne Webserver nicht mehr erreichbar ist.

Webserver NAT Port 80,443
SSHLogin Port 60022

Wenn die Blockrule auf Port 60022 gesetzt wurde, wieso geht dann der Webserver Plötzlich nicht mehr?
Denn dieser Lauscht ja nicht auf dem SSH Port.

vielen dank , bis später.

lg
Print
Go Up Pages1
User actions