Sinnvoll Zugriff auf interne Web-Services sperren wenn Source-Port 22 ist?

Started by SteffenDE, August 05, 2025, 03:53:06 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 05, 2025, 03:53:06 PM
Hallo,

im Normalfall sollte der Zugriff auf 443 doch immer von einem High-Port kommen oder? Wenn der Zugriff vom Port 22 kommt ist doch davon auszugehen, dass da eher ein Scan oder sonstwas gemacht wird oder sehe ich da was Falsch?

Dann könnte man doch in den eingehenden Regeln auch einen Quellport zur Bedingungen machen oder  ist das nicht sinnvoll?
August 05, 2025, 05:19:55 PM #1
Kann man, aber wozu? Wenn deine OPNSense offen im Netz hängt, kann doch sowieso jeder prinzipiell das WebUI erreichen.
August 05, 2025, 05:23:02 PM #2
Mir geht es nicht um das Web UI der OPNSense, sondern den Zugriff auf meine öffentlichen Seiten (Services) soweit wie möglich einzuschränken. Sprich eine Portweiterleitung nur aus den Regionen und die Quellen zulassen die notwendig sind bzw. umgekehrt alle aussperren, die da eh nix vernünftiges zu suchen haben.
August 05, 2025, 06:33:49 PM #3
Dann würde ich ganz simpel erst mal den Blacklisting-Ansatz fahren. Du kannst in OPNSense Aliase erstellen, die Blocklisten von URLs beziehen.

GeoIP: https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
Spamhaus DROP: https://docs.opnsense.org/manual/how-tos/drop.html

Ich habe nebenbei noch weitere Blocklisten abonniert:

firehol_level1: https://iplists.firehol.org/?ipset=firehol_level1
abuseipdb-s100-3d: https://github.com/borestad/blocklist-abuseipdb/tree/main

Damit wirst du schon mal viele Bots los.

Du kannst dir auch nen Honeypot hinstellen und damit deinen eigenen Threat Feed befüllen. Mache ich so auf meinem Hetzner Server https://github.com/r-smith/deceptifeed

Und natürlich gibt es auch noch CrowdSec https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/
August 05, 2025, 08:02:10 PM #4
Danke die Themen habe ich schon am Laufen und wollte die Einschränkung des Quellports Ontop machen.

Lediglich die abuseipdb kannte ich noch nicht und werde ich mir gleich mal anschauen.

Danke.
August 05, 2025, 09:33:36 PM #5
Kannst du ja machen. Eingehende Verbindungen sollten nur von Ephemeral Ports kommen. Leg dir dafür einen Alias an und blockiere alle Verbindungen, die NICHT von diesen Source Ports kommen.
August 06, 2025, 07:46:20 AM #6
Danke, genau so habe ich es gemacht und sieht gut aus.
Print
Go Up Pages1
User actions