Source IP blocken, die zu viele Sessions zu einem Ziel aufmacht

[SteffenDE]

Servus,

so langsam werde ich mit der OPNsense warm und habe Dank Blacklisten und Ländereinschränkungen den Zugriff auf meine kleinen 'öffentlichen' Spielereien deutlich besser eingeschränkt.

Hin und wieder kommt aber doch mal einer durch und fällt auf dass dann in der Regel sehr viele Einträge die PASS Regel für den eingehenden z.B. 443 auslösen. Meine Handys etc. sind da in der Regel nur 3-4 mal am Stück zu sehen und nicht 10-50 mal. Kann ich dafür eine Regel definieren die für den häufigen Zugriff von einer Source die Verbindungen komplett blocked, auch wenn es eine FW Regel gibt die TCP Eingehend auf ein bestimmtes Ziel über 443 ermöglicht (entsprechende Port-Forward Regel gibt es natürlich auch)?

Danke für einen Tip.

[Zapad]

Du kannst bei der FW Regel für TCP unter Erweitert
folgendes einstellen:

 Max Status

 Max Quellknoten

 Max etabliert
    
Maximale Quellstatus

und schliesslich bei Maximale neue Verbindungen, "conn per sek" einstellen.

[SteffenDE]

OK+Danke ist schon mal eine Spur. Kann ich einfach in der bestehenden Regel 'Max new connections' mit z.B. 10/3 definieren und als Ziel einen selbst definieren Block-Alias auswählen?

Dann müsste doch die Quell-IP, die das Limit reißt, in der Liste landen, die ich zu meinen ersten Block-Regeln hinzufüge oder?

So könnte ich dann alle penetrante in eine Block-Liste schieben, die generell den Zugriff blockiert. Was wäre dann den sinn volle Werte für eine normale Webseite oder auch den Maileingang - wäre 10/3 zu sensibel?

Gruß und Danke.

[Zapad]

ich würde 1 alias mit Clients erstellen die zuviel connecten und dann 2
tcp regeln.

die 1. mit Alias ausnahme als quelle       (gültig für alle ausser alias)

die 2 mit Alias als quelle und begrenzung. (gültig nur für Alias)