FireHOL IP-Blocklisten per Outbound-Regel blockieren

[juergen2025]

Hallo zusammen,

ich möchte kurz prüfen lassen, ob mein Ansatz grundsätzlich korrekt ist.

Ziel:
FireHOL-IP-Blocklisten (bzw. daraus erstellte Aliase) sollen zentral für ausgehenden Traffic blockiert werden, damit interne Clients keine Verbindungen zu bekannten bösartigen IPs aufbauen können.

Aktueller Aufbau

Alias
Typ: Host(s)
Beispielname: BLOCK_IPS
Inhalt:
FireHOL-IP-Blocklisten + Manuelle IP Blockierung



Globale Firewall-Regel
Aktion: Block
Schnell: aktiv
Schnittstellen: LAN, OPT1, OPT2
Richtung: out
IP-Version: IPv4
Protokoll: any

Quelle:

LAN Netzwerk

OPT1 Netzwerk

OPT2 Netzwerk

Ziel: Alias (FireHOL / BLOCK_IPS)

Zielport: beliebig

Logging: aktiviert

Meine Frage

👉 Ist das der korrekte Weg, um FireHOL-IP-Blocklisten für Outbound-Traffic umzusetzen?

[viragomann]

Hallo,

nicht ganz.

Die Richtung sollte "in" sein.
Die Richtung ist immer aus Sicht der Firewall zu sehen und auf den gesetzten Schnittstellen möchtest eingehenden Traffic mit Ziel Blockliste blockieren.

[juergen2025]

Hallo,

danke für den Hinweis, verstanden 👍

Mir ist bewusst, dass die Richtung immer aus Sicht der Firewall zu sehen ist.
Aktuell blockiere ich die IPs aus der FireHOL-Blockliste bereits am WAN für eingehenden Traffic (in).

Zusätzlich möchte ich ausgehenden Traffic (out) blockieren, damit interne Clients keine Verbindungen zu IPs aus der Blockliste aufbauen können, falls diese z. B. durch DNS, bestehende Sessions oder andere Wege erreicht werden.

Ziel ist also:

WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren

LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren

Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.

[viragomann]

Ziel ist also:

WAN / in → eingehenden Traffic von Blocklisten-IPs blockieren

LAN (bzw. relevantem Interface) / out → ausgehenden Traffic zu Blocklisten-IPs blockieren

Daher plane ich eine separate Regel mit Ziel = Blocklisten-Alias und Richtung ,,out" auf dem entsprechenden Interface.

Auf den internen Interfaces müsste dafür die Richtung "in" sein, eben aus Sicht der Firewall.

Alternativ kannst du die Regel für Ziel = Blockliste am WAN erstellen, dann mit Richtung "out" oder "any". Falls du das loggen möchtest, würdest du aber hier nur die WAN-IP als Quelle sehen.

Grüße

[meyergru]

danke für den Hinweis, verstanden 👍

Nein, Du hast es nicht verstanden. Man verwendet so gut wie nie ,,out" Regeln.

Der ausgehende Verkehr, den Du blockieren willst, kommt zuerst über das LAN Interface zur Firewall herein (,,in") und dort solltest Du ihn blockieren.