Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Maltrail - Blockt trotzt Whitelist
« previous
next »
Print
Pages: [
1
]
Author
Topic: Maltrail - Blockt trotzt Whitelist (Read 851 times)
JBBERLIN
Newbie
Posts: 31
Karma: 0
Maltrail - Blockt trotzt Whitelist
«
on:
January 01, 2024, 09:47:50 am »
Moin, gesundes neues Jahr erstmal!
So zu meinem Problem.
Habe vor Weihnachten mal Maltrail aktiviert und erstmal sammeln lassen, soweit so gut.
Nun wollte ich mal gestern das aktivieren und sobald Maltrail aktiviert ist dauert es keine 10 Minuten ist mein gesamtes Netzwerk auf der Fail2Ban Liste und das trotz Whitelist Einträgen wie 192.168.50.0/24 oder auch einzelner Hosts.
Das geht sogar soweit das sogar meine WAN IP geblockt wird obwohl die auch in der Whitelist eigetragen ist.
Maltrail läuft nur auf dem WAN Interface.
Als Rule ist nur eine Floating Rule mit dem Maltrail Alias als Source eingetragen.
Wo liegt der Denkfehler bei mir?
Vielen Dank euch vorab.
Logged
itngo
Full Member
Posts: 118
Karma: 4
Re: Maltrail - Blockt trotzt Whitelist
«
Reply #1 on:
June 21, 2024, 08:57:40 pm »
Hi,
wie auch schon in der opnsense Doku zur Suricata IPS/IDS, ist es nicht sonderlich sinnvoll sich den traffic am WAN-Interface anzuschauen. Da ist ja die Tür eh schon zu. Was von extern per DNAT reingelassen wird, muss auch erst wieder über das LAN-Interface die Firewall verlassen.
Also würde ich MALTRAIL eher an das LAN-Interface und ggf. an DMZ-Schnittstellen lauschen lassen....
Am WAN rauscht so viel dreck vorbei, der gar nicht für deine Firewall bestimmt ist, das der Sensor eh permanent alarm "pustet"....
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Maltrail - Blockt trotzt Whitelist