Firewall Neuerungen, Floating, Aliases

[pumuckl]

Hallo

meine Firewall läuft schon seit fast 2 Jahren.

Auf einem Testsystem wollte ich jetzt GeoIP`s und firehol_level3 blocken .

Habe für beides Aliase erstellt und mit den  pf Tables überprüft, beides spuck umengen an ip`s aus.

Ich hab dann eine Floating Regel erstellt und firehol_level3 als Quelle verwendet, sowie das loggen aktiviert und diese Ips sollten nun geblockt werden.


Wenn ich aber die Firewall live Ansicht öffne, sehe ich nur die "allow any" regel von der lan Schnittstelle und die "let out anything" von der Wan Schnittstelle.


Aber meine firehol_level3 Regel kommt anscheinend nicht zu Anwendung. 7
Es gibt eine Option in der Regel die "schnell" heißt, hab diese aktiviert und deaktiviert hatte keine Änderung gebracht. Habe diese auch bei der "allow any" regel an der Lan Schnittstelle deaktiviert.

Ich hab die regel dann auch in der Lan Schnittstelle angelegt, das hat aber auch nichts gebracht.
in der live Ansicht sieht ,man die  firehol_level3 Regel nicht.

Woran kann das  liegen?

Gibt es eine ausführliche Beschreibung der floating regel?

Wie muss ich die "schnelle " option verstehen?

Gibt es aktuelle Anleitungen für die Firewall Regeln?


grüsse
.

[mimugmail]

Bitte nicht floating verwenden. Mach das mit LAN rules tab und schick einen screenshot

[pumuckl]

Hab jetzt diese Lan Regeln erstellt:
Bild1

https://drive.google.com/file/d/1DZytgFKZ-s69z3BG3YJQJXIsXflQ2VqA/view?usp=sharing

das ist die Live Ansicht, nach Aufruf eine gelisteten ip.

bild2
https://drive.google.com/file/d/10wO3mF-MQtXZUv7tHY-xjZdHXoM4dROR/view?usp=sharing

[CoolTux]

Die Alias gehört wenn es dem LAN zugeordnet ist doch eher zum Ziel und nicht zur Quelle.

[pumuckl]

macht sinn, so funktioniertes auch.

ist die erlaube alle auch falsch?

gilt das auch für die Wan Schnittstelle?

[CoolTux]

Zu mindest ist die Position der erlaube Alles schon mal richtig, nämlich nach den Blocks.
Ich stelle auf der WAN Schnittstelle gar nichts ein ausser das was an Ports von aussen rein darf wenn ich Services an biete.

Ob Du wirklich alles erlauben möchtest was raus geht musst Du aber wissen. Ich selbst erlaube nur wenige Ports nach draussen.
HTTP/S, SMTP und IMAP/S. Ich verwende das ganze aber auch im privaten Bereich. Wenn Anwendungen andere Ports benötigen verwende ich sie nicht oder erstelle ganz enge Ausnahmen.

[CoolTux]

Ich habe das zum Spaß jetzt mal selbst getestet. Ist eigentlich Recht einfach.
Wenn Du nur ein LAN Netz hast dann kannst das so lassen mit der Anwendung des Alias am LAN Interface. Ich habe 7 Netze und müsste ja bei allen 7 eine Rule anlegen.

Statt dessen habe ich auf der WAN Seite eine Rule angelegt.

In meinem Beispiel bedeutet das das alle IP Adressen die in der GeoIP drin stehen und aus meinem Netz aufgerufen werden blockiert werden.
Du kannst es auch anders rum machen. Ich lasse zum Beispiel einige Zugriffe von aussen auf mein Netz zu. VPN, HTTPS. Hier kannst Du auch GeoIP blockieren für eingehenden Traffic. Diesen setzt Du vor der Regel die zu lässt das einige Eintreffende Packte erlaubt sind aus dem Internet in Dein Netz..

[Marcel_75]

D.h., so (siehe Screenshot) wäre das dann als LAN-Regel korrekt, um z.B. per GeoIP das surfen nach Russland zu verbieten?

yandex.ru z.B. kann ich dann tatsächlich nicht mehr ansurfen.

Aber news.ru funktioniert z.B. weiterhin …

Aber das liegt vllt. daran, dass news.ru zwar eine .ru Domain nutzt, aber gar nicht in Russland gehostet wird?

Da mail.ru z.B. auch geblockt wird, ist das grundsätzlich erst einmal i.O. für mich (denn das Blockieren von yandex.ru und mail.ru wäre mir wichtig).

Aber ich würde natürlich trotzdem gern verstehen, warum news.ru trotzdem noch funktioniert?

[mimugmail]

D.h., so (siehe Screenshot) wäre das dann als LAN-Regel korrekt, um z.B. per GeoIP das surfen nach Russland zu verbieten?

yandex.ru z.B. kann ich dann tatsächlich nicht mehr ansurfen.

Aber news.ru funktioniert z.B. weiterhin …

Aber das liegt vllt. daran, dass news.ru zwar eine .ru Domain nutzt, aber gar nicht in Russland gehostet wird?

Da mail.ru z.B. auch geblockt wird, ist das grundsätzlich erst einmal i.O. für mich (denn das Blockieren von yandex.ru und mail.ru wäre mir wichtig).

Aber ich würde natürlich trotzdem gern verstehen, warum news.ru trotzdem noch funktioniert?

Du machst einen Ping auf news.ru und dann einen Whois auf die IP Adresse. Wenn die Site bei Amazon AWS gehostet wird hast du keine Chance. Da brauchst du dann transparenten Proxy oder DNS Blocklisten

[CoolTux]

Prüfe doch einfach ob die IP in Deiner Geo Liste auf taucht.

Firewall->Diagnostic->pfTables
da nach Deinem Alias für GeoIP suchen und dann nach der IP suchen welche hinter der ru Adresse steckt. Steht sie da drin sollte sie auch blockiert werden.

[mimugmail]

macht sinn, so funktioniertes auch.

ist die erlaube alle auch falsch?

gilt das auch für die Wan Schnittstelle?

Grundsätzlich gilt, da was das Paket als ERSTES und EINGEHEND kommt, muss die Regel hin. Wenn du also Zugriff von LAN ins Internet steuern willst bitte im LAN tab. Wenn du Verbindungen von Internet ins LAN regelst dann im WAN tab.

[pumuckl]

Muss eine Regel im LAN Tab eingehende oder ausgehende Verbindungen überprüfen?

Standard mäßig ist eingehend "in" aktive.

Mein Verstand sagt das  Im wann eingehende und im Lan netz ausgehende Verbindungen geprüft werden müssen.

Wenn ich Geoips auf der WAN Seite filtere, muss ich den alias als quelle definieren und eingehend.

Auf der Lan Seite als Destination und ausgehen.

Stimmt das so?

Steigerung der Schwierigkeit:

ich hab einen offenen http port extern zb 44044 der wird auf eine interne lan ip port 80 umgeleitet und ist über WAN erreichbar.

kann ich eine Regel erstellen die alle Länder außer Deutschland an Wan port 44044 blockt erstellen?

also: Block  Quelle geoip(alles ausser Deutschland)  Destination Wan port 44044
Dann kann nur ein Deutscher Hacker meine webcam sehen.

Für VPN könnte ich eine andere geoip alias erstellen und kann mein netzt trotzdem aus dem ausland erreichen.

[CoolTux]

Natürlich geht das. Du erstellst einfach eine Regel an der WAN Adresse mit Quelle GeoIP Alias und gaaanz wichtig, diese Regel muss vor der erlaubten 44044 Regel.

[Marcel_75]

Muss eine Regel im LAN Tab eingehende oder ausgehende Verbindungen überprüfen?

Standard mäßig ist eingehend "in" aktive.

Mein Verstand sagt das  Im wann eingehende und im Lan netz ausgehende Verbindungen geprüft werden müssen.

Wenn ich Geoips auf der WAN Seite filtere, muss ich den alias als quelle definieren und eingehend.

Auf der Lan Seite als Destination und ausgehen.

Stimmt das so?

Ich glaube, da missverstehst du etwas ähnlich, wie ich es bis vor kurzem auch missverstanden habe. 

Die Experten hier mögen mich bitte sofort korrigieren, falls ich hier jetzt Blödsinn erzähle, aber ich habe es so verstanden:

Mit "in" ist bei LAN z.B. gemeint, dass Geräte innerhalb Deines Netzwerkes etwas an diese Schnittstelle (LAN) schicken (deshalb "in").

Und wenn Du da jetzt z.B. (siehe meinen Screeshot weiter oben) als "Destination" einen GeoIP-Bereich definierst (wie in meinem Beispiel "Russland"), wird das geblockt.

Sinngemäß: Gerät ist im LAN mit IP 192.168.1.2 und sendet an die LAN-IP 192.168.1.1 des Router eine Anfrage zu yandex.ru -> dann kommt das "in" auf dieser LAN-IP 192.168.1.1 des Routers an und wird durch die Regel "in" auf LAN zum Destination Russland geblockt.

@pumuckl: Ich hatte das anfangs auch so verstanden wie Du, also dass im LAN ja ausgehende Verbindungen geprüft werden müssen und deshalb doch "out" und nicht "in" auf LAN gewünscht wäre … 

Aber die Variante "in" auf LAN ist korrekt um etwas aus dem LAN "nach draußen" zu blockieren.

[Marcel_75]

Du machst einen Ping auf news.ru und dann einen Whois auf die IP Adresse. Wenn die Site bei Amazon AWS gehostet wird hast du keine Chance. Da brauchst du dann transparenten Proxy oder DNS Blocklisten

Ah, verstehe, ich Danke Dir.

Habe das jetzt mit einer eigenen DNS-Blockliste gelöst, funktioniert.