Zuverlässiges Sperren von BOGONS auf ausgehende WAN Verbindungen - BestPractice?

Started by michael.seidel, December 18, 2024, 11:54:23 AM

Previous topic - Next topic
Hallo Zusammen!

Ich habe das akute Problem, dass ich beim großen Cloud Anbieter H. andauernd Abuse bekomme, weil ein Client eine BOGONS IP "scannt".

Meine Frage ist, warum geht die Firewall Regel mit WAN/BLOCK/IPV4*/OUT/Destination Gruppe "Bogons" nicht?

Es wird immer die Standard Regel "let out anything from firewall host itself (force gw)" dafür verwendet, wenn er seine Default Route nutzt um eben die Bogons von der Richtung LAN->WAN->Internet zu erreichen.

Irgendwo habe ich noch gefunden, man muss dafür eine Floating Regel benutzen. Greift auch nicht.

Ich habe es auch mal versucht über eine manuelle NAT Regel den gewünschten Effekt zu erreichen:

Interface WAN / Source LAN net / Source * / Dst !Bogons / Dst Port * / NAT IF add / Nat Port * / Static NO

Ging auch net. Sah aber Zielführender aus.

Könnte mir bitte jemand erklären warum das nicht geht? Oder noch besser, wie es denn geht? ;-)

Vielen Herzlichen Dank für die Zeit!


Du willst auf dem WAN-Interface jedes Paket blocken, das "OUT" als Ziel ein Bogon hat. Dann mach eine Firewall-Regel dafür. Ich musste das auch einmal machen, weil meine OpnSense als Default-Gateway auch RFC1918-IPs geleakt hat, die nicht durch interne Routen abgedeckt waren.

Das ist einer der wenigen Fällen, in denen eine "OUT"-Regel sinnvoll ist.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+