Problem mit Alias und URLs

Started by PiMas, May 30, 2022, 02:29:52 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 30, 2022, 02:29:52 PM
Hallo

Ich möchte einem Ubuntuserver Zugriff ins Internet geben, aber nur auf bestimmte URLs für Updates.
Dazu habe ich eine Regel erstellt, welche als Destination einen Alias enthält, welcher wiederum die URL definiert:

Alias-Typ = URL (IPs)
Content = *.ubuntu.com

Das funktioniert soweit.

Wenn ich den Alias allerdings um eine URL erweitere, funktioniert nur der erste Eintrag, alle weiteren nicht:

Content = *.ubuntu.com *.webmin.com
In diesem Fall funktioniert  nur *.ubuntu.com

Content = *.webmin.com *.ubuntu.com
In diesem Fall funktioniert nur *.webmin.com

Ist das ein Bug oder mach ich etwas falsch?


May 30, 2022, 03:44:05 PM #1 Last Edit: May 30, 2022, 05:49:11 PM by meyergru
Bist Du sicher, dass Du den Sinn eines "URL (IPs)"-Alias verstanden hast?

Damit definierst Du eine URL, unter der Du eine Liste von IPs abrufst, die Du dann in Regeln verwenden kannst.
*.ubuntu.com ist schon mal keine gültige URL. Wenn Du unter Firewall->Aliases->Diagnotics->Aliases Deinen Alias ansiehst, dürfte der leer sein. Mir ist sogar komplett unklar, wieso so irgendwas funktioniert.

Was Du möchtest, ist ein Pattern-Matching auf bestimmte URLs für den Zugriff - vollkommen ungeachtet der IPs. Die OpnSense Firewall kann das selbst nicht, eigentlich filtert die nur nach IPs, Aliase können dabei helfen, die IPs zu ermitteln (aber nicht per DNS Wildcard).

Man könnte so etwas erreichen mit einem intelligenten Web-Proxy und Zwang für bestimmte Rechner, diesen zu verwenden (Verhindern von direktem Zugriff nach außen). Der mitgelieferte Web-Proxy kann aber keine Whitelists, sondern nur Blacklists.


Eine andere Variante wäre die händische Ermittlung sämtlicher IPs, die Du erreichbar machen willst, Speichern in einer Textdatei und Ablage auf einem Webserver, sodann Nutzung von "https://www.mein-server.de/ubuntu-update-server-liste.txt".
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 30, 2022, 04:29:36 PM #2
Quote from: meyergru on May 30, 2022, 03:44:05 PM
Bist Du sicher, dass Du den Sinn eines "URL (IPs)"-Alias verstanden hast?

Ich habe mir die Doku angeschaut: https://docs.opnsense.org/manual/aliases.html
Zumindest der Host-Alias scheint genau für meine Anforderung gemacht zu sein. Allerdings nicht als Wildcard.

Tests mit einzelnen Einträgen haben das bestätigt.
Deswegen denke ich, dass Opnsense das schon irgendwie unterstützt. Möglicherweise nicht mit dem "URL (IPs)"-Alias
May 30, 2022, 05:55:10 PM #3
Mit einem Host Alias geht das (nicht für Wildcards, wie gesagt) - der ist sogar intelligent genug, ggf. mehrere IPs aufzulösen, z.B. für www.ubuntu.com. Wobei das nicht der richtige Name für Ubuntu-Updates ist (ist je nach Region unterschiedlich).
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 30, 2022, 08:46:35 PM #4
Schade dass es die Wildcard-Möglchkeit nicht gibt.
Immerhin kann ich im Host-Alias mehrere URL angeben.
In meinem Fall für die Ubuntu-Updates passt es mit diesen URLs:
Code Select
archive.ubuntu.com  download.webmin.com
May 31, 2022, 08:28:06 AM #5
Sollte doch für Ubuntu einfach machbar sein.

Schauen welche Repositorys hinterlegt sind.
Alias mit den Repositorys anlegen.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions