WAN Regeln aktivieren per SSH (ausgesperrt aus dem webinterface)

[bastler1220]

Hallo an alle!


Ich habe mich bei einer remote firewall ausgesperrt. Ich habe wohl zuviele Regel deaktiviert. Allerdings Zugriff habe ich noch per SSH.

Gibt es einen Weg die Regeln des WAN interfaces wieder per SSH zu aktivieren?

VG
Bastler1220

[lidynia.sven]

Hallo Bastler,

Da hast du deinem nahmen wohl zu viel Ehre gemacht und es kaputt gebastelt.

Schau mal ob du hier fündig wirst.

https://www.google.com/amp/s/www.digitalocean.com/community/tutorials/how-to-configure-packet-filter-pf-on-freebsd-12-1-de.amp

Alles in allem handelt es sich ja um ein BSD System. Die Firewall basiert ja auf der normalen Linux Firewall.

Wenn mein Link dir nicht helfen sollte musst du einfach bei Google mal nach BSD + Firewall + CLI schauen.

Gruß
Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[JeGr]

Da es in so einem Fall nicht gerade hilfreich ist, irgendwas einfach so händisch in den "PF" reinzufummeln und die Links kaum für OPNsense weiterhelfen:

Womit bist du denn ausgeschlossen? Kommst du noch drauf per LAN oder WAN?

Ansonsten wäre eine Möglichkeit auf der Konsole den Paketfilter kurz ganz abzuschalten, das sollte man aber gut timen, denn dann ist nicht nur der Filter aus, sondern auch NAT etc.
Je nachdem also WO man sich ausgeschlossen oder man Zugriff hat, kann das gut oder schlecht sein

Wenn NAT kein Problem ist, kann man auf der Konsole mit

pfctl -d

kurz den Paketfilter abklemmen, dann fix in die UI und die Regeln zur WebUI wieder aktivieren und speichern. Nach dem Speichern wird auf der Konsole automatisch der pf wieder aktiviert (pfctl -e zum wieder einschalten sagt dann, dass er schon wieder aktiv ist).

Ist aber nur in Ausnahmen zu verwenden!

Cheers
\jens

[bastler1220]

Ich komme von WAN.

Die Möglichkeit mit pf -d war zwar sehr radikal aber kurz und schmerzlos

Aber ja, das hatte wohl zu viel gebastelt. Dank Eurer Hilfe wieder ganz gebastelt. 

Vielen Dank!

[lidynia.sven]

Hallo Jens,

Ich gebe dir da recht das man vorsichtig sein sollte was man da im PF (Packet Filter) macht. Vor allem auf der CLI.

Jedoch denke ich das es ein gangbarer Weg wäre mal zu schauen was für Regeln da gesetzt oder inaktiv sind. Denn auf dem Wege müsste er den Schutz nicht auf 0 setzten und hoffen das es klappt.
Denn im schlimmsten Fall bleibt die Kiste dann offen wie ein Scheunentor stehen.

Daher würde ich erst mal schauen ob ich über die Konsole etwas retten kann.

Gesendet von meinem SM-N960F mit Tapatalk pro

[JeGr]

> Jedoch denke ich das es ein gangbarer Weg wäre mal zu schauen was für Regeln da gesetzt oder inaktiv sind. Denn auf dem Wege müsste er den Schutz nicht auf 0 setzten und hoffen das es klappt.

Richtig im Prinzip. Aber: OPNsense ist nicht einfach eine GUI sondern selbst aktiv im Prozess eingeklinkt. Klar kannst du dir die aktuellen Regeln ansehen, aber einfach mal so das Regelfile "umschreiben" und in den pf Laden sehe ich an der Stelle kontraproduktiv, wenn man sich schon zerbastelt hat. Denn wenn du weißt wie DAS geht, stellst du hier diese Frage eigentlich nicht. Daher gehe ich nicht davon aus, dass jemand sich so gut auf Konsole und in PF Syntax und Umgang auskennt, dass er mal eben findet, wo die pf Konfiguration (non standard) bei der OPNsense liegt, welches File man wie anpassen müsste damit man wieder draufkommt (mit Aliasen die ggf. nicht mit der UI überein stimmen, weil man die sonst nie zu Gesicht bekommt) und das File dann so anpassen kann, dass er wieder auf die UI kommt.

Man mag mich zynisch schimpfen, aber ich behaupte schlichtweg, dass das ne Nummer zu hoch ist für jemanden der sich ausgesperrt hat und nur kurz wieder auf der UI die Regeln anmachen will, die er versehentlich zu viel ausgeschaltet hat.

Und nein, die Kiste bleibt nicht offen wie ein Scheunentor, da auch kein NAT mehr geht. Heißt das einzige was einen kurzen Moment offen ist, ist das WAN und die WebUI die erreichbar werden. Ich gehe nicht davon aus, dass jemand da das Default PW drin lässt und dann ist evtl SSH und die UI kurz exponiert ans WAN zu hängen vertretbar. Nach innen kann man dank abgeklemmter NAT eh nicht. Und sobald man irgendwas in der UI anschließend speichert oder die Kiste resettet ist eh alles wieder aktiv. Halte ich also für übertrieben, von Scheunentoren zu reden Da kann man sich mit irgendwelchen Edits in pf Rulesets die man noch nie gesehen hat potentiell aber wesentlich mehr zerlegen ohne weiter zu kommen

[lidynia.sven]

Ok Jens,

deiner Argumentationskette kann ich nichts entgegen stellen und gebe dir unter den Umständen vollumfänglich Recht.

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[Maurice]

Genau für solche Fälle gibt es doch die "Restore a backup"-Funktion. Einfach über ssh verbinden, die 13 wählen und eine Konfiguration vor der Änderung der Firewall-Regeln wiederherstellen. Man benötigt dazu kein externes Backup.

Grüße

Maurice