ICMP Echo Request auf dem WAN Interface droppen

[sternchen45]

Hallo,
stelle mich wahrscheinlich zu blöd an. Ich würde gerne IPv4 ICMP Type 8 (Echo Request) eingehend auf dem WAN interface mit der Aktion DROP versehen.
Zu diesem Zweck habe ich bereits eine Floating Regel mit dem passenden Inhalt erstellt und sie ganz nach oben geschoben. Wenn ich die automatically generated rules aufklappe, sehe ich nichts, was den Fall regeln oder widersprechen würde.

Aus dem Internet bekommt man aber noch Antworten.

Gibt es da noch irgendein weiteres Setting?

[patient0]

WAN gibt nicht antwort auf Ping per default, da hast Du eine Regel dafür erstellt (auf dem WAN Interface?.

Hast Du den eine eigene öffentliche IP, also eine die nicht mit 100.64... bis 100.127... anfängt? Und also Folgefrage, bist Du ganz sicher, dass Deine OPNsense antwort gibt? Gibt es eine Gerät vor der OPNsense?

Und auf welche OPNsense Version setzt Du ein?

[sternchen45]

WAN gibt nicht antwort auf Ping per default, da hast Du eine Regel dafür erstellt (auf dem WAN Interface?.

wenn das so offensichtlich wäre, würde ich ja nicht fragen :) - ein wenig Ahnung habe ich schon. Vielleicht kann man meine Frage umstellen: Wieso antwortet eine OPNSense auf PINGs, obwohl sie das standardmäßig nicht tut und auch keine Konfiguration in den Regeln sein sollte, die das doch erlaubt.
Der Vollständigkeit halber: ich habe tatsächlich auf dem WAN Interface Regeln, die ICMP erlauben, aber diese sind disabled (lt. GUI). Aber selbst wenn sie enabled wären, lt. Doku ist die Reihenfolge Floating, dann Interface-Regeln, dann der Rest.  Die Verbotsregel steht in den Floating-Regeln ganz oben.

Hast Du den eine eigene öffentliche IP, also eine die nicht mit 100.64... bis 100.127... anfängt?

ja

Und also Folgefrage, bist Du ganz sicher, dass Deine OPNsense antwort gibt? Gibt es eine Gerät vor der OPNsense?

es gibt kein Gerät davor, demzufolge sollte es die OPNSense sein, die antwortet

Und auf welche OPNsense Version setzt Du ein?

OPNsense 26.1.4-amd64

[patient0]

Wieso antwortet eine OPNSense auf PINGs, obwohl sie das standardmäßig nicht tut und auch keine Konfiguration in den Regeln sein sollte, die das doch erlaubt.
Der Vollständigkeit halber: ich habe tatsächlich auf dem WAN Interface Regeln, die ICMP erlauben, aber diese sind sind disabled (lt. GUI).

Hast Du die ICMP Regel erst grad deaktivert (und 'Apply' gedrückt)? Es kann einen kleinen Moment gehen bis keine offenen 'states' mehr gibt.

In der Datei /tmp/rules.debug findest Du die aktiven pf Regeln, guck mal rein ob Du was findest betreffend ICMP echoreq.

[meyergru]

Stimmt, Firewall states flushen nach Regeländerung.

Mach mal einen Paketdump mit "tcpdump -i <WAN> -X icmp" und schau, ob die Pakete ankommen und ob geantwortet wird.

Wenn das überhaupt der Fall ist und Du nicht mit einem ISP-Router sprichst, sondern wirklich mit der OpnSense, kann Du in den Log-Einstellungen die Default-Block- und Default-Allow-Regeln protokollieren lassen und dann im Firewall Live-Log schauen, ob diese greifen.

Wenn nicht, dann musst Du eben Deine eigenen Regeln durchforsten und die protokollieren lassen, bis Du die fragliche Regel gefunden hast.

Übrigens: Die alte Regeln mit "Floating vor..." gilt m.W. mit den neuen Regeln nicht mehr. Hast Du schon migriert?

[sternchen45]

Hast Du die ICMP Regel erst grad deaktivert (und 'Apply' gedrückt)? Es kann einen kleinen Moment gehen bis keine offenen 'states' mehr gibt.

ich habe vorsichtshalber sogar rebootet...

In der Datei /tmp/rules.debug findest Du die aktiven pf Regeln, guck mal rein ob Du was findest betreffend ICMP echoreq.

habe ich mir auch gerade angesehen, entweder bin ich betriebsblind oder da ist tatsächlich nichts offensichtliches.

Mach mal einen Paketdump mit "tcpdump -i <WAN> -X icmp" und schau, ob die Pakete ankommen und ob geantwortet wird.

gute Idee, tun sie

Übrigens: Die alte Regeln mit "Floating vor..." gilt m.W. mit den neuen Regeln nicht mehr. Hast Du schon migriert?

nein. Ich glaube, das Verhalten habe ich auch schon ewig, also deutlich vor 26.1

[sternchen45]

ich habe alle Floating-Rules und alle WAN-Rules auf Logging enabled gesetzt und im Logfiles/Live-View nach meiner source gesucht. Taucht nicht auf.

Ich bin ratlos.

[sternchen45]

Ich danke Euch für die Hilfe. Ich habe den Fehler gefunden: Beim Blick aufs general firewall log fiel mir ein Fehler bei einer Rule auf, danach hat er wohl nicht mehr erfolgreich importieren können (was wohl auch heißt, dass schon seit einiger Zeit die Änderungen gut für gar nichts waren).
Die Rule war benannt, ich habe sie gelöscht und in dem Augenblick klappte sowohl das Logging im Live-View, als auch das Blocking.

[sternchen45]

Stimmt, Firewall states flushen nach Regeländerung.

wenn ich bei nicht erfolgreichem PING die ICMP allow Regel einschalte und danach wieder aus, beginnt erst der PING und läuft dann auch nach Ausschalten weiter. Aber ist ja vielleicht keine Änderung :)

In der Doku habe ich irgendwas über Firewall/Rules/States gelesen - aber gibt es auch einen Terminalbefehl zum Flushen der Rules? pfctl -F all?

Hm, gerade noch einmal ausprobiert. Verhalten bleibt gleich. Flushen der Rules hilft nicht. Die beiden Optionen unter Firewall/Diagnostics/States/Action bringen auch nichts. pfctl -F all bringt nichts. Nur die Option 11 (Reload all services) von der Shell hilft. Was ist das denn für ein Feature?

[meyergru]

Es ist erst eine Änderung, wenn Du danach Apply drückst.

Und dann greift halt die Tatsache, dass OpnSense mit pf eine stateful Firewall ist - gleichzeitig Segen und Fluch: Du musst, wenn Du eine Richtung erlaubt hast, die Antworten nicht explizit erlauben. Andererseits merkt sich die Firewall den Zustand und lässt zunächst weiter Pakete zu.

Bei ICMP ist das besonders seltsam, weil es da per se keine "Richtung" gibt - entweder die Pakete sind zulässig oder nicht. Und wenn man ein Ziel pingt, werden Antworten sowieso zugelassen. Dann darf auf einmal auch das Ziel selbst Pings auslösen, weil der Zustand es erlaubt.

[sternchen45]

danke Dir! Schönen Restsonntag!