Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen? (Read 1794 times)
pixelmeister
Newbie
Posts: 6
Karma: 1
Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?
«
on:
September 11, 2021, 10:06:56 pm »
Hallo,
ich bin noch sehr neu bei opnsense,
habe jahrelang mit Astaro/Sophos UTM gearbeitet und kenn mich mit IT recht gut aus, bin aber kein Netzwerk-crack, habe diverse Switches schon durch, aber jeder "Vokabel-Wechsel" bringt mich an die Grenzen
und komme daher mit einigen Dingen trotz intensiver Dokunutzung noch nicht klar - ich denke einfach noch nicht opnsense passend.
Daher mein Hilferuf
Kann ich aus Firewall Regeln die im Livelog aufschlagen eine Firewallregel machen?
Bzw. gibt es dazu ein Plugin.
Gibt es hier irgendwo im Forum (oder woanders) eine Liste einfacher "Default" Regeln? (Regelset für Mailverkehr/Samba/Linux Updates/Youtube verbieten/...
Vielen Dank!
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?
«
Reply #1 on:
September 16, 2021, 05:24:33 pm »
Ahoi
1) nein, gibt es leider im Gegensatz zur pfSense nicht. Das Livelog gibt dafür pro Regel über das (i) wesentlich mehr Infos warum geloggt wurde und welche Details genau. Ein "mache aus dem Block aber eine Pass Regel" gibt es leider nicht.
2) "Default" Regeln sind immer schwer zu sagen. Was ist für wen warum Default? Daher eher "nein". Aber deine Beispiele zeigen auch schon die Komplexität:
* Mailverkehr: super simpel, Destination Port 25, 465, 587 für SMTP, IMAP/POP3 nach Bedarf. Lässt sich sehr einfach realisieren/filtern
* Samba: Was gemeint? File Traffic von einem LAN ins andere/VLANs? Ansonsten hat ja Samba auf der Firewall (oder abgehend ins Internet) nichts wirklich zu suchen. Daher eher - warum und was? Ansonsten innerhalb von LANs auch einfach: 135, 137-139, 445 in TCP/UDP sollte da alles erfassen
* Linux Updates: Welches Linux? Welche Updates? Was genau? Welche Server? Welcher Mirror? Soll alles/alles/alles erlaubt sein? Dann reicht oft 80/443 und gut. Ansonsten müsste man auf entsprechende Mirrors als Zieladressen, IP Listen oder Namen eingrenzen - da wirds schon schwerer.
* Youtube? Ohne DNS Filter annähernd unmäglich. Ein Monstrum wie Google, Youtube, Microsoft etc. bekommst du nicht einfach simpel mit IP Filterregeln erschlagen. Da brauchst du entweder ne sehr sehr gut und aktuell gepflegte IP Liste, gegen die du blocken kannst und die NUR YT Server enthält (unwahrscheinlich, Gefahr von Overblocking) oder du blockst via DNS wie das bspw. auch PiHole, Adguard Home etc. machen und nicht per IP Filter.
Du siehst, das ist nicht "default" und nicht einfach
Definiere deine Anforderungen, je genauer desto einfacher hast dus dann, und dann setze die Stück für Stück um. Was du erlauben/verbieten willst zusammentragen und dann schauen, wie man was am besten umsetzt.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
pixelmeister
Newbie
Posts: 6
Karma: 1
Re: Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?
«
Reply #2 on:
September 24, 2021, 11:17:24 pm »
Vielen Dank für die Antwort, ich komme mit dem Forum noch nicht so gut zurecht - habe erst jetzt entdeckt, dass ich explizit markieren muss, Antworten gemailt zu bekommen :-).
Deswegen ein nachträgliches Danke!
Ich versuche das mit den Logeinträgen auch zu nutzen, aber irgendetwas verstehe ich bei opnsense noch nicht ganz. Denn ich sehe meist Datenverkehr an meinen "untersten" Deny Regeln aufschlagen, die "Allow" Regel"darüber entspricht aber aus meine Sicht genau dem aus dem Log - spricht aber nicht an.
Wie sollte denn diese einfache Regel aussehen um meinen Kindern den Drucker aus VLAN 10.0.20.* den Drucker in VLAN30 mit der IP 10.0.50.30 das ZielPort 631 verfügbar zu machen?
(Mir ist klar, dass es nicht bei dieser einen Regel bleiben wird! Aber nur für mein Verständnis)
Habe mich schon mehrere Nächte im Forum herumgeschlagen, und eigentlich dachte ich, ich verstehs, aber irgendwas scheine ich misszuverstehen
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?
«
Reply #3 on:
September 25, 2021, 11:45:24 pm »
Ich weiß nicht, was das für ein Drucker ist, aber IPP sieht eher nach MacOS aus. Mac/Apple Krams funktioniert da gerne nur mit lokaler "automagischen" Erkennung im gleichen Subnetz, daher bin ich nicht sicher, ob du da happy wirst mit aber rein technisch gesprochen von dem Log das ist sehe:
Da müsste auf dem SpieleVLAN Interface Reiter mit Source SpieleVLAN_net oder nur gezielt der entsprechende PC .101 wenns ne fixe IP ist und Destination "Drucker" (10.0.50.30) mit Destionation Port 631/tcp.
Wenn du die Regel dann im Log sehen willst, muss natürlich noch der Log Haken rein, sonst wirst du keine Pakete dazu finden
Wenn die Regeln sonst noch geblockt werden oder nicht auftauchen, könnte es nur sein, dass es Regeln darüber gibt, auf die ein Paket matcht, dann würdest du es ggf. auch nicht sehen (wenn dort Logging aus ist). Daher ist die Reihenfolge wichtig und dass auch nicht in einer Gruppe oder auf dem Floating IF Regeln definiert sind, die dir die Pakete vorher schon wegfuttern.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Newbie Frage - Kann man Logeinträge aus dem Livelog zu Firewall Regeln machen?