Firewall Regeln für Proxy welches Interface?

Started by tpf, May 21, 2025, 10:42:55 AM

Previous topic - Next topic
Servus,
ich betreibe einen Squid Forward-Proxy auf der OPNsense und möchte diesen ausgehend mit Firewall-Regeln (Firehol) reglementieren. Leider ist mir nicht klar, an welchem Interface ich die Regeln anwenden muss.

Ich habe das LAN und WAN mit Direction in und out und jeweils entsprechend die Liste als Source und Destination versucht und die Regeln ziehen nicht. Also quasi alle Möglichkeiten.

Danke und Grüße

Ist nicht so einfach: Wenn Du den Squid-Proxy nutzt, kannst Du auf dem LAN überhaupt nichts filtern - die Requests gehen ja nicht mehr direkt zu den Ziel-IPs, sondern werden per HTTP an Squid übertragen. Also sieht das LAN-Interface die Ziel-IPs nie.
Der Squid macht dann die Requests über das WAN-Interface ausgehend - deswegen funktionieren auch WAN "in" Regeln nicht.

Wenn überhaupt, müsste die Filterung also im Squid selbst oder - untypischerweise - auf dem WAN-Interface "out" mit der Firehol-Liste als Ziel.

Offenbar hast Du also doch nicht alle 8 Möglichkeiten probiert, von denen nur eine funktioniert. Am Rande bemerkt, ist es besser, zu verstehen, was wirklich geschieht und dann die richtige Variante zu nehmen. Trial & Error ist im Security-Umfeld kontraproduktiv: Da probiert man schnell mal was, was nicht geht, man vergisst es und lässt es stehen und zack! - hat man ein Problem.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+

May 21, 2025, 03:20:53 PM #2 Last Edit: May 21, 2025, 03:26:39 PM by tpf
Danke für deine Antwort. Ich scheine einen Kandidaten gefunden zu haben. Die FW betrachtet ihren Traffic vom Squid (logischerweise) als vom Auto-Rule "let out anything from firewall host itself " gedeckt zu betrachten.

Ich teste das später mal

Ok, es ist so: das Auto-Rule ist das Problem. Wie kann ich das überschreiben? Das Auto-Rule steht auf last match. Ich habe ein Floating auf beide WAN-Interfaces mit der Option quick und als Destination testweise IPs von Github eingetragen. Leider trifft das Auto-Rule trotzdem.

Wäre für einen Tipp sehr danbkar!

Kann man denn Blocklisten nicht in Squid konfigurieren, wo sie hin gehören?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Vermutlich müsste man die Regel als Floating-Rule eintragen, damit sie möglichst früh zieht. Patrick hat aber Recht und ich deutete es ja schon an: Besser wäre allemal, das im Squid zu blocken als in der Firewall (zudem "out" Regeln, wie gesagt, untypisch sind).

Tatsächlich ist Squid eigentlich besser geeignet, Filterungen durchzuführen, weil er dabei genauer agieren kann. Beispielsweise ist www.youtube.com und www.google.com die selbe IP, man kann also nicht dazwischen differenzieren, wenn man es IP-basierend macht, wohl aber mit Namen.

Squid unterstützt ACLs und Blacklists, die sind allerdings nicht IP-basierend, wie Firehol. Letztere ist eigentlich auch eher für eingehenden Traffic relevant als für ausgehende Zugriffe per HTTP(S).
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+

Squid kann keine Listen wie Firehol oder Spamhaus konsumieren. Mir ist schon klar, dass eine SNI-Filterung auf dem Proxy die bessere Lösung ist, welche es auch gibt.

Es geht hier aber explizit darum, besagte Listen auf der FW zu blocken.

Wie oben erwähnt, habe ich das Floating-Rule bereits gemacht. Trotzdem gewinnt das Auto-Rule. Daher suche nach nach dem korrekten Weg für die Rules

Ich fasse zusammen: Das Auto-Rule hat last match. Das Floating first match. Das müsste also gewinnen.







Moin,
keiner einen Tipp für mich, wie ich das Auto-Rule überschreiben kann, außer es in der /usr/local/etc/inc/filter.lib.inc zu editieren?

Ich danke im Voraus.

Man kann automatische Regeln nicht überschreiben außer durch Änderungen am Code - die natürlich Updates nicht überleben.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Danke, ich hab's befürchtet. Warum man sich sowas systemseitig antut - ich weiß es nicht. Nach 20(!) Jahren pfSense schüttle ich bei einigen Dingen den Kopf...