OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • was ist die @2 block drop in log inet all label default deny rule ipv4
« previous next »
  • Print
Pages: [1]

Author Topic: was ist die @2 block drop in log inet all label default deny rule ipv4  (Read 6337 times)

carepack

  • Newbie
  • *
  • Posts: 23
  • Karma: 1
    • View Profile
was ist die @2 block drop in log inet all label default deny rule ipv4
« on: December 18, 2016, 05:31:09 pm »
Hallo an alle,

ich hab mal wieder ein kleines problem.
wenn ich die "default allow to any rule" deaktiviere und meine eigene regel für das internet aktiviere (alias mit folgenden porst: 80, 443, 53", sehe ich in den fw logs, dass packages auf port 53 geblockt werde. klicke ich auf das kreuz, bekomme ich die info, dass die oben genannte regel dies verhindert. Wer, was und wo und wieso ist / macht diese regel?

vielen dank an alle
Logged

franco

  • Administrator
  • Hero Member
  • *****
  • Posts: 17709
  • Karma: 1618
    • View Profile
Re: was ist die @2 block drop in log inet all label default deny rule ipv4
« Reply #1 on: December 19, 2016, 12:52:08 am »
"default deny" greift immer dann, wenn es keine Policy gibt, die sonst noch passt auf dem Traffic. Es scheint also als ob die Regel nicht korrekt angelegt wurde? Bitte einmal die Regel(n) posten, damit wir sehen warum das so sein könnte. :)

Generell: die "default deny" Regel ist die automatische Regel die Whitelisting-Mode ermöglicht, d.h. jeder Traffic muss explizit erlaubt werden. Den Blacklist-Ansatz ("default pass") gibt es theoretisch auch, aber der ist nicht sicher, als wird er nicht benutzt.
« Last Edit: December 19, 2016, 12:53:46 am by franco »
Logged

Zeitkind

  • Full Member
  • ***
  • Posts: 180
  • Karma: 27
    • View Profile
Re: was ist die @2 block drop in log inet all label default deny rule ipv4
« Reply #2 on: December 19, 2016, 02:04:58 pm »
Quote from: carepack on December 18, 2016, 05:31:09 pm
folgenden porst: 80, 443, 53", sehe ich in den fw logs, dass packages auf port 53 geblockt werde. klicke ich auf

Häufiger Fehler: DNS verwendet UDP und kein TCP. Was ist in den Regeln eingestellt? Außerdem sollte man z.B. noch einiges im Bereich ICMP durchlassen, wenn man eigene Regeln verwenden will. Dinge wie MTU discovery können einem den Tag verderben..
Netter thread zu dem Thema:
http://security.stackexchange.com/questions/22711/is-it-a-bad-idea-for-a-firewall-to-block-icmp
"It's one of those "Unless you're a networking god and really know what you're doing, don't mess with it" sort of things."
Logged

chemlud

  • Hero Member
  • *****
  • Posts: 2488
  • Karma: 112
    • View Profile
Re: was ist die @2 block drop in log inet all label default deny rule ipv4
« Reply #3 on: December 19, 2016, 04:06:54 pm »
...aber in dem SE Thread steht auch viel kritisches drin zu IMCP. Ich lebe recht gut ohne ICMP, bei großen NEtzwerken mag das anders aussehn... ;-)
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • was ist die @2 block drop in log inet all label default deny rule ipv4
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2