Firewall regl scheint ciht zu greifen

Started by megazocker, Today at 05:43:03 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 05:43:03 PM
Hallo alle,

da ich im Begriff bin von pfSense auf OPNsense umzusteigen habe ich doch einge Probleme mit den FW Regeln.

Ich habe mir da zuhause mehrer Mailkonten existieren und ich nur eine Regel machen möchte einen Alias angelegt für die betreffenden Provider wie

imap.web.de smp.web.de das gleiche mit gmx.de mailbox.org und auch für gmail.

Die ports wurden ebenfalls in einen Alias integriert mit den Ports 465 587 993 995

Was nun beim abrufen der web.de Mailbox wunderbar funktioniert klappt leider null mit gmail.com

Das schaut in etwas wuie folgt aus

    IPv4+6 TCP/UDP    Ich Netzwerk    *    SecureMail_providers     SecureMail_ports     *    *       

In den Logs sagt er immer mit zum Teil unterschiedlichen IPs des Providers
Ich Eingehend 2026-03-24T16:40:13 TCP 10.10.201.3:63007 66.102.1.109:993 block Default deny / state violation rule

Die Regel die alles erlaubt ist derzeit deaktiviert, schalte ich wieder an das alles funktioniert klappts auch wieder, das ist aber nicht der Sinn der Sache.

Hat jemnd eien Idee was ich falsch machen ?


nobody
Today at 06:17:21 PM #1
Auf welchem Interface ist die Regel? Welche Richtung?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 06:38:43 PM #2
Quote from: megazocker on Today at 05:43:03 PMHat jemnd eien Idee was ich falsch machen ?
Vermutlich nichts. Aber Google liefert bei jeder DNS Abfrage einen andere IP, und OPNsense kann auch nicht mehr tun als das DNS abzufragen, wenn du einen Hostnamen vorgibst. Für Aliases geschieht das standardmäßig alle 300 Sekunden.
Wenn der Client eine Verbindung zum Server herstellen möchte, kommt die IP möglicherweise aus seinem DNS Cache od. aus aus dem des lokalen DNS Servers / Resolvers und ist damit nicht mehr jene im Alias.

Lösung?
Wirklich einschränken ist da schwierig. Dazu müsste man wissen, welche IPs genau genutzt werden. Eventuell auf das gesamte Google-Netz einschränken, ohne die Cloud-Services eben.
Wenn das zu offen ist, könntest versuchen, den Hostnamen intern lokal zu überschreiben. Dann nutzen die Clients eben nur diese Einträge (ich denke, dass mehrere in Unbound möglich sind, hab ich aber noch nicht eingesetzt).
Today at 07:09:53 PM #3
Gibt noch den dnsmasq trick dafür:

https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset

funktioniert ganz gut wenn man dnsmasq als ersten dnsserver für alle clients benutzt

Würdw ich aber nicht ganz plug and play nennen da es schon eine etwas advanced konfiguration ist, sollte dem nicht so sein (aka Unbound oder anderer DNS server ist der erste)
Hardware:
DEC740
Print
Go Up Pages1
User actions