github wird von FireHOL L3 geblock - ich checks nicht?

Started by Nambis, November 26, 2022, 07:12:39 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 26, 2022, 07:12:39 PM Last Edit: November 26, 2022, 07:24:57 PM by Nambis
Moin,

keine Ahnung, was da jetzt nicht passt, aber ich komme seit einiger Zeit nicht mehr auf Github, vor allem was mich irritiert ist, die Blockliste die ich beim Firehol Alias eingegeben hatte, ist von raw.githubusers ... kapiere es nicht?

Ausschnitt von der Live Ansicht des FW Protokoll

LAN      2022-11-26T19:07:46   192.168.0.24   140.82.121.4   icmp   FireHOL3

Weder Ping noch logischerweise eine Seite Aufruf von Github.com ist möglich:
Beim Verbinden mit github.com trat ein Fehler auf.

Zum testen habe ich die FW regel deaktiviert, welche unter LAN eingehend konfiguriert wurde, wo mit ich github.com wieder erreiche, ja ok ist logisch aber was soll ich machen um Firehol3 und github verwenden zu können?


Was sollte ich machen, einen Alias von Github anlegen und diesen per Regel erlauben?

Nachtrag:

Manchmal funktioniert github und dann wieder nicht, scheint so, als würden dort von manchen Spiegelserver die IP's geblockt.

Wie kann ich nen Domain Alias machen auf Github welcher nie geblockt wird?



$ ping github.de
PING github.de (140.82.113.17) 56(84) bytes of data.
64 bytes from lb-140-82-113-17-iad.github.com (140.82.113.17): icmp_seq=1 ttl=50 time=112 ms
64 bytes from lb-140-82-113-17-iad.github.com (140.82.113.17): icmp_seq=2 ttl=50 time=112 ms
^C
--- github.de ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 111.560/111.987/112.415/0.427 ms


$ ping github.com
PING github.com (140.82.121.3) 56(84) bytes of data.
^C
--- github.com ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8189ms


Nachtrag:

Mit dem github.com Alias funktioniert es nicht?
November 27, 2022, 11:04:59 AM #1
Hi,

hatte ähnliches Problem mit anderer FireHol Liste.

Wenn bestimmte Seiten durch FireHol Listen blockiert werden, kann man diese Seiten aus der Blockliste "streichen" indem man sie direkt in den Firehol-Alias einträgt, mit der gewünschten IP oder Webadresse, davor aber ein ! einträgt - z.B. "!github.com". Das könnte so aussehen wie auf dem Bild im Anhang.
November 27, 2022, 01:53:11 PM #2
Quote from: vovo on November 27, 2022, 11:04:59 AM
Hi,

hatte ähnliches Problem mit anderer FireHol Liste.

Wenn bestimmte Seiten durch FireHol Listen blockiert werden, kann man diese Seiten aus der Blockliste "streichen" indem man sie direkt in den Firehol-Alias einträgt, mit der gewünschten IP oder Webadresse, davor aber ein ! einträgt - z.B. "!github.com". Das könnte so aussehen wie auf dem Bild im Anhang.

Danke, das hat geholfen.
November 29, 2022, 12:03:36 PM #3
Firehol Level3 hat das auch in seiner Beschreibung stehen:

> An ipset made from blocklists that track attacks, spyware, viruses. It includes IPs than have been reported or detected in the last 30 days. (includes: bruteforceblocker ciarmy dshield_30d dshield_top_1000 malc0de maxmind_proxy_fraud myip shunlist snort_ipfilter sslbl_aggressive talosintel_ipfilter vxvault)

Da die Liste aus 30 Tagen rückläufig erstellt wird und auch Reports drin sind, kann sich da immer mal wieder ein false positive drauf verirren. Im Gegensatz zum Level1 (sehr safe) oder Level2 (ebenfalls recht safe da aus den letzten 48h generiert) hat man da im dümmsten Fall einige Zeit lang ne falsche IP drauf. Github hat bspw. einen localen Knoten in Frankfurt, der bei github.com via GeoIP/Anycast ausgespielt wird. Der taucht aber gerne mal in irgendwelchen Listen auf, weil ein paar Leute gern in ihrem Github oder in Gists irgendwelche Virensignaturen speichern oder hinterlegen und ein paar tumbe automatische Systeme beim Abgrabbeln das dann als "Virenschleuder", Malware Verteilung o.ä. erkennen. Aus dem gleichen Grund landet auch immer mal wieder der eine oder andere Discord EU-West FRA Node auf der Level3 Liste.

Entweder also "use with care and knowledge" oder dann eben damit rechnen, dass man das ggf. mit einem negativ-Alias (wie es in der Doku steht) entblocken muss. :)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
November 29, 2022, 04:14:54 PM #4
Quote from: JeGr on November 29, 2022, 12:03:36 PM
Firehol Level3 hat das auch in seiner Beschreibung stehen:

> An ipset made from blocklists that track attacks, spyware, viruses. It includes IPs than have been reported or detected in the last 30 days. (includes: bruteforceblocker ciarmy dshield_30d dshield_top_1000 malc0de maxmind_proxy_fraud myip shunlist snort_ipfilter sslbl_aggressive talosintel_ipfilter vxvault)

Da die Liste aus 30 Tagen rückläufig erstellt wird und auch Reports drin sind, kann sich da immer mal wieder ein false positive drauf verirren. Im Gegensatz zum Level1 (sehr safe) oder Level2 (ebenfalls recht safe da aus den letzten 48h generiert) hat man da im dümmsten Fall einige Zeit lang ne falsche IP drauf. Github hat bspw. einen localen Knoten in Frankfurt, der bei github.com via GeoIP/Anycast ausgespielt wird. Der taucht aber gerne mal in irgendwelchen Listen auf, weil ein paar Leute gern in ihrem Github oder in Gists irgendwelche Virensignaturen speichern oder hinterlegen und ein paar tumbe automatische Systeme beim Abgrabbeln das dann als "Virenschleuder", Malware Verteilung o.ä. erkennen. Aus dem gleichen Grund landet auch immer mal wieder der eine oder andere Discord EU-West FRA Node auf der Level3 Liste.

Entweder also "use with care and knowledge" oder dann eben damit rechnen, dass man das ggf. mit einem negativ-Alias (wie es in der Doku steht) entblocken muss. :)

Cheers
\jens

Danke für die Information. Bei Github selber unter dem Projekt, habe ich auch gelesen das es dort immer wieder zu false positvi Meldungen kommt. Anyway, ich bleibe vorerst bei der L3, bis ich mal mehr Zeit habe, solange greift die expection und ich komme auf github^^
December 01, 2022, 09:13:55 AM #5
Wie gesagt ist das auch kein Problem per se, sondern einfach ein Fakt, dass man im Hinterkopf haben sollte. Alles ab Level3 kann eben false positives haben und da sollte man sowas wie Negativ-Aliase schonmal parat haben, um die abzufiltern. Generell so einbauen wie das in der Doku angegeben ist hilft da schon ungemein. Gerade weil auch in Level1 ja u.a. CGNAT, RFC1918 und Multicast IP Ranges drin sind und sich viele dann wundern, wenn interne Sachen nicht mehr gehen :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 30, 2024, 11:19:24 AM #6
Ich bin gerade über das gleiche Problem gestolpert.

Leider zeigt ein zusätzliches !github.com keinen Effekt.

OPNsense 24.7.5

Hat da jemand eine Idee dazu?
September 30, 2024, 12:16:53 PM #7
sollte es nicht !githubusercontent.com sein?

ich habe auch Alias Auflösungsproblem aber mit raw.githubusercontent.com Listen.
September 30, 2024, 05:36:55 PM #8
Ich habe nun beides mit drin, geht aber auch nicht.
October 02, 2024, 08:20:05 AM #9
Bei mir auch nicht, weder !githubusercontent.com noch !github.com
October 02, 2024, 03:06:19 PM #10
probiert mal folgendes:
unbound dns einscalten, auf allen interfaces, also haken rein und beobachten....
ich habe jetzt kene Protokolle mehr zu aliasen.
October 03, 2024, 12:41:06 AM #11
Ich hatte dann einfach eine Allow_Hosts Aliase erstellt und die IPs und Domains von Github manuell eingetragen, siehe Bild, seit dem keine Probleme mehr gehabt. Ist zwar vielleicht nicht die eleganteste Lösung, aber es funktioniert. (Siehe Anhang)
October 07, 2024, 11:21:37 AM #12
Hallo Nambis,
nicht die eleganteste Lösung, aber es funktioniert.
thx
Print
Go Up Pages1
User actions