IPS/Suricata dropt nichts (opnsense.test.rules)

[MojoMC]

Hallo zusammen,

ich nutze OPNsense momentan, um ein Testnetzwerk vom Intranet zu trennen.
Momentan hadere ich mit der erfolgreichen Konfiguration von IDS/IPS/Suricata, speziell scheitert es schon am Test mit Eicar in der unverschlüsselten Variante, also HTTP.

Meine Konfiguration für IDS/IPS/Suricata sieht wie folgt aus:

• Enabled √
• IPS mode √
• Interfaces LAN & WAN
• in Home networks sind WAN und LAN erfasst

Die Regel "OPNsense-App-detect/test" ist enabled und heruntergeladen.
In den Rules ist die Regel opnsense.test.rules auch mit der Standard-Action "Alert" enabled.
Eine Policy für diese Regel mit Action "Alert" & "Drop" sowie New Action "Drop" ist erstellt und angewendet.

Mache ich aus dem Testnetzwerk einen "curl http://pkg.opnsense.org/test/eicar.com.txt", geht das problemlos durch und ich sehe das unter den Alerts, leider mit "Action: Allowed" - trotz der aktiven Policy, die aus "Alert" ein "Drop" machen sollte.

Ändere ich per Hand die Testregel auf "Drop", dann wird auch sofort gedropt - selbst ohne Policy.

Bin ich irgendwo falsch abgebogen, übersehe ich die ganze Zeit etwas?

Vielen Dank für jeden Denkanstoß.

[MojoMC]

Hat niemand eine Idee oder selbst ähnliches erlebt?

[Patrick M. Hausen]

Poste mal im Englischen IDS/IPS Subforum. Da lesen auch Suricata-Spezialisten mit.

[MojoMC]

Das habe ich am 3. Februar bereits getan, aber bislang gab es keinerlei Antworten.

[Patrick M. Hausen]

Ok, hatte ich erst danach gesehen. Ich gehe einfach alle neuen Beiträge nach meinem letzten Login linear durch.

Ich kenne niemanden von den "Regulars", mich selbst eingeschlossen, hier im Deutschsprachigen Forum, der Suricata benutzt, sorry. IDS/IPS krass überbewertet und macht oft mehr Ärger als es nützt.