NAT Regel wird nicht geblockt

Started by nautilus, April 01, 2025, 02:38:19 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 01, 2025, 02:38:19 PM
Hallo zusammen,

auf der Opnsense wurde ein NAT Regel für ein SSH Server "internes Netzwerk" eingerichtet. Das klappt alles.
Der Port vom ssh Server ist die 2222 und wird auf die interne IP 192.168.50.249 weitergeleitet.

WAN = eine feste IP vorhanden.

Nun wollte ich für diese NAT Regel eine Blockliste "IP" einrichten. Diese greift leider nicht und ich komme nicht weiter.

Floating Rule ist vorhanden, die IP wird sich von einem internen Webserver geholt. www.internerwebserver/blocktestip.txt.
Da wurde ein ALIAS eingerichtet wie bei firehol1.

Die IP die ich blocken wollte, ist die von mir zu Hause, um das mal zu Testen.

Hat jemand einen Rat, wieso dass das nicht geht. Noch eine Abschliessende Frage, gibt es eine Doku, wie man im Livelock seine Eigenen Regeln erstellen kann?

vielen dank





April 01, 2025, 02:56:29 PM #1
Ist  eventuell ein State für die Verbindung bereits vorhanden, weil du es zuvor getestet hast?
Dann müsstest du diesen ggf. erst löschen.

Abgesehen davon, wäre es nicht sinnvoller, eine Whitelist für den Zugriff zu verwenden?
April 02, 2025, 11:11:29 AM #2
Hallo, bei meinem ssh server kommen täglich ssh login versuche, die ich blocken möchte.

Auf dem Server selbst ist eine UFW eingerichtet. Über ein Script lese ich mir die Failed logins raus und speijher die inm einer TXT Datei.
Code Select
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" > failure.txt
grep -E "sshd.*Failed|Invalid|Did" failure.txt | grep -v COMMAND | awk -F 'from ' '{ print $2 }' | awk '{ print $1 }' | sort | uniq -c

cat failure.txt | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq > rules.txt

cat rules.txt > "$(date "+%Y-%m-%d-%H-%M")".txt

Nun wird jeden tag eine Datei angelegt, mit den IPS!

[code]
-rw-r--r--  1 root root   96  2. Apr 05:00 2025-04-02-05-00.txt
-rw-r--r--  1 root root   54  1. Apr 05:00 2025-04-01-05-00.txt
-rw-r--r--  1 root root   54 31. Mär 05:00 2025-03-31-05-00.txt
-rw-r--r--  1 root root   54 30. Mär 05:00 2025-03-30-05-00.txt
-rw-r--r--  1 root root   68 29. Mär 05:00 2025-03-29-05-00.txt
-rw-r--r--  1 root root  107 28. Mär 05:00 2025-03-28-05-00.txt
-rw-r--r--  1 root root   81 27. Mär 05:00 2025-03-27-05-00.txt
-rw-r--r--  1 root root    0 26. Mär 05:00 2025-03-26-05-00.txt
-rw-r--r--  1 root root   14 25. Mär 05:00 2025-03-25-05-00.txt



[/code]

diese werden dann auf den Webserver kopiert. Jedoch geht das schon bei einer IP nicht?

Sinn des ganzen, ich will das mal endlich kapieren, wie ich das mache, aber egal was ich Teste, es geht einfach nicht.!

Was die Logs angeht, da blicke ich auch nicht so durch, denn ich sehe eigendlich nirgends ein error, warum diese Datei mit den IPs nicht erkannt werden. Ich habe das hier gefunden https://github.com/vivi202/firetail?tab=readme-ov-file.

Oder mal über die Console gehen, mit pfctl -vvsr usw. . Aber danke, wenn ich weiter komme, melde ich mich wieder.

liebe grüsse
April 02, 2025, 12:34:23 PM #3
Hallo, ich hatte die Regel neu erstellt und es geht jetzt! Habe mal ein Testsystem genommen.

hier das LiveLoG

Code Select
025-04-02T12:28:56    192.168.50.53:50620    192.168.1.249:22    tcp    ssh-lgin-sperren

Kann ich im Alias unter "Refresh Frequency" auch das manuell anstossen?

danke und liebe grüsse
Print
Go Up Pages1
User actions