Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[GELÖST] IPS GeoBlock blockiert kompletten Traffic
« previous
next »
Print
Pages: [
1
]
Author
Topic: [GELÖST] IPS GeoBlock blockiert kompletten Traffic (Read 7515 times)
freesbie
Newbie
Posts: 9
Karma: 2
[GELÖST] IPS GeoBlock blockiert kompletten Traffic
«
on:
March 29, 2016, 01:40:12 pm »
Hallo,
bestimmt habe ich irgendwo einen Hacken vergessen.
Ich habe das IDS mit IPS Mode an und ein User definded Rule in dem ich alls was nicht aus Deutschland kommt blocken möchte. Leider block es mir alles was rein kommt und alles was raus geht.
Disable ich die Regel dann können die Leute hinter der Firewall wieder surfen.
Verstehe ich das schon richtig, dass "Germany(Not) in Verbindung mit Direction=Source und Drop ankommende Verbindungen dropt die nicht aus Deutschland sind?
Alle Hardware CRC, TSO, LRO und VLAN checks sind aus und die Kiste ist frisch rebootet.
Noch jemand eine Idee?
Gruß,
Matthias
«
Last Edit: July 21, 2016, 09:43:17 am by franco
»
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #1 on:
March 29, 2016, 01:59:22 pm »
Hallo Matthias,
Ist das jetzt nur im Screenshot, oder ist die Regel nicht an? Trifft die Regel, wenn IPS aus ist (alert log)?
Gruss
Franco
Logged
freesbie
Newbie
Posts: 9
Karma: 2
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #2 on:
March 29, 2016, 02:13:05 pm »
Hallo Franco,
ja das was nur im Screenshot. IPS ist jetzt aus und die Regel aktiv. Im Log erscheint nun "allowed".
Ein Test mittels vpnbook.com auf einen hinter der Firewall liegenden Webserver geht ohne "Alert" durch"
Logged
freesbie
Newbie
Posts: 9
Karma: 2
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #3 on:
March 29, 2016, 02:37:37 pm »
Eigentlich ist es egal was ich einstelle in der Regel. Entweder blockt es alles wenn ich "Drop" sage oder im Log steht nur "allowed" wenn "Alert" einstellt ist. Aber noch nie sah ich ein Alert in den Logs..
Wäre toll wenn diese Funktion bei mir funktionieren würde. Ich habe keine Lust dem Webserver GeoBlock beizubringen
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #4 on:
March 29, 2016, 02:54:32 pm »
Naja, nach meinem Test mit nur "Germany (not)" muss ich sagen meine Monitor IP wird ignoriert und der Monitor vom System daher als "down" markiert. Schon mal ein guter Anfang...
DNS Anfragen werden auch nicht mehr beantwortet. Letzteres liegt daran, dass zumindest der DNS Forwarder von IP "0.0.0.0" nach draußen ruft und das dann den Block verursacht. Zumindest sagt das das Suricata-Log.
Zu guter letzt scheint "src" im "geoip" Kommando nur auf die aktuelle Paket-IP zu prüfen, das heißt spätestens im Rebound-Paket ist Schluss mit der Verbindung auch wenn sie aus Deutschland kam.
Das Geolocation macht genau was es soll, leider ist es so restriktiv umgesetzt unbrauchbar. Eher denkbar wäre das Blockieren von "bösen" Ländern. Whitelisting ist immer schwierig...
Logged
freesbie
Newbie
Posts: 9
Karma: 2
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #5 on:
March 29, 2016, 05:44:48 pm »
Hallo Franco, hast du vielleicht noch eine Idee wie ich zu einer adäquaten Lösung kommen könnte?
Oder ist etwas in Richtung Pfblocker geplant?
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #6 on:
March 30, 2016, 08:37:18 am »
Ist nich geplant als Adaption, nur kleinere Verbesserungen damit wir die Funktionalität an vorhandenen Features nachempfinden können. Ich überlege gerade was man hier noch vom IPS braucht, die User-defined rules sind etwas zu schwach im Moment so dass man z.B. für DNS keine Ausnahmen machen kann. Vielleicht ist auch Suricata's geoip src/dst unbrauchbar und es sollte lieber über HOMENET -> !HOMENET laufen, bzw. anders herum. Ich diskutier das mal mit Ad.
Logged
freesbie
Newbie
Posts: 9
Karma: 2
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #7 on:
March 30, 2016, 10:12:17 pm »
Hallo Franco,
fein. ich versteh zwar nur die Hälfte..
Wie könnte ich bis dahin Länder blocken? Hast du eine Idee?
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #8 on:
March 31, 2016, 09:19:41 pm »
https://pkg.opnsense.org/snapshots/DE
Erstellt mittels FreeBSD/OPNsense:
# fetch
http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
# unzip GeoIPCountryCSV.zip
# grep '"DE"' GeoIPCountryWhois.csv | tr , ' ' | awk '{ print $1"-"$2 }' | tr -d '"' > DE
Kann unter Firewall: Aliases: Import per cut+paste angelegt werden. Das Set ist aber zu groß als dass es editiert werden kann später (löschen und neu anlegen geht aber). Den Alias kannst du dann in den Firewall Regeln nutzen.
Hier sollten wir mal einen Country-Block einbauen, das ganze Alias-System ist auch nicht gerade schön. Kommt noch, aber wohl nicht vor 16.7.
Grüße
Franco
«
Last Edit: March 31, 2016, 10:42:51 pm by franco
»
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #9 on:
April 11, 2016, 10:56:15 pm »
Hi Matthias,
Mit der nächsten Dev Version gibt es die Möglichkeit der simplen GeoIP-Aliase. Freiwillige Tester vor.
Grüße
Franco
Logged
freesbie
Newbie
Posts: 9
Karma: 2
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #10 on:
July 20, 2016, 02:19:33 pm »
@franco
Habe dein Post total verpasst. Ist es schon aus Dev ins Stable gerutscht?
Update:
Ist drin
*FREUDE*
«
Last Edit: July 20, 2016, 02:22:10 pm by freesbie
»
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: IPS GeoBlock blockiert kompletten Traffic
«
Reply #11 on:
July 21, 2016, 09:43:01 am »
Hallo Matthias,
Ist alles drin, ja, ging schneller als erwartet und hatte bislang keine Beschwerden.
Grüße
Franco
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[GELÖST] IPS GeoBlock blockiert kompletten Traffic