Suricata blockiert trotz Drop-Policy nicht – Alarmmeldung zeigt „allowed“

[juergen2025]

Titel: Suricata blockiert trotz Drop-Policy nicht – Alarmmeldung zeigt ,,allowed" (OPNsense 27.7)

Beitrag:

Hallo zusammen,

ich habe ein Problem mit Suricata unter OPNsense 27.7, das ich nicht nachvollziehen kann.

Folgendes ist eingerichtet:

IDS/IPS ist aktiviert

Die richtige Netzwerkschnittstelle ist ausgewählt

Die Suricata-Policy ist gesetzt.

Die Standardaktion ist ,,Alert"

Ich habe bei mehreren Regeln die Aktion manuell auf ,,Verwerfen (Drop)" gestellt

Die Regeln sind aktiv

Außerdem habe ich folgende Regelwerke aktiviert (siehe Screenshot):

botcc.portgrouped.rules

botcc.rules

ciarmy.rules

compromised.rules

drop.rules

emerging-* (mehrere)


Trotz dieser Einstellungen zeigt Suricata bei einem auslösenden Ereignis nur einen Alert an – aber keine Blockierung. In den Logs unter Protokolle → Suricata → Alerts steht nur allowed. Die Verbindung wird also nicht unterbrochen.

Meine Fragen:

Warum greift die Drop-Regel nicht, obwohl sie aktiv und richtig gesetzt ist?

Muss man zusätzlich noch etwas global aktivieren, damit ,,Drop" überhaupt angewendet wird?

Funktionieren Drops nur auf bestimmten Schnittstellen (z. B. nur WAN oder nur intern)?

Gibt es irgendwo Logs oder eine Debug-Ansicht, die zeigt, ob Suricata versucht zu blockieren?

Ich wäre sehr dankbar für Hinweise oder eine kurze Erklärung, falls ich etwas übersehen habe.

Viele Grüße