Meine Erfahrung mit "blocklist.de"

[Wayne Train]

Hi,
mich würde interessieren, ob es schon jemand geschafft hat die folgende Blocklist, ähnlich der DROP & EDROP List von Spamhaus als Alias anzulegen, ohne das die OPNSense dabei "hops" geht:

https://lists.blocklist.de/lists/all.txt

Natürlich kann ich den Alias an sich anlegen, wenn ich mir später die Liste über PFTables anschauen will, war's das aber auch schon. Werden die Einträge in eine Datenbank geschrieben und muss es hinterher nur zum Anzeigen wieder da raus geladen werden? Das würde erklären, warum das so lange dauert. Mich wundert, dass OPNSense damit Probleme hat. Wenn ich z.B. ein IPSet unter Linux anlege und das Ganze dann anzeige geht das alles sogar relativ flott.

Wie auch immer: Mich würde interessieren, ob schon jemand Erfahrungen damit hat und vielleicht weiß, ob das nur ein Anzeige-Problem der GUI ist, oder ob OPNsense an sich Probleme mit einer ca. 40000 Einträge starken IP-Tabelle hat.

So oder so werde ich das jetzt mal ein paar Tage testen und dann meine Erfahrungen teilen. Über Tipps u.ä. freue ich mich natürlich dennoch ;-)

MFG
Wayne

[mimugmail]

Hast du schon in den Einstellungen die maximale Größe von Tabellen erhöht? Die FireHol Liste funktioniert super, die von blocklist sollte auch klappen

[Wayne Train]

Ha!
Das ist ein guter Tipp! Wo mache ich das ?
MFG
Wayne

[mimugmail]

Firewall Maximum Table Entries

In den Einstellungen unter Firewall

[Wayne Train]

Thx,
hab's auch gerade gesehen. Das steht bei mir auf 200.000, also default. Das sollte also bei knapp 40.000 Einträgen passen wenn die Beschreibung passt...
Danke dir.

[mimugmail]

Mach mal ne Mio draus und schau noch mal ...

[Wayne Train]

Ok, jetzt verstehe ich wo du mit deiner 1 Mio hin willst....

Firewall Maximum Table Entries    
Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
Note: Leave this blank for the default. On your system the default size is: 200000

Wenn ich das richtig verstehe ist das die gesamtzahl inkl. Suricata, Drop/Edrop und allem was man so aktiviert.
Dann kann es mit 200 000 echt knapp werden.

Danke dir.
MFG
Wayne

[Wayne Train]

PS: Weißt du zufällig, wo ich mir die aktuelle Anzahl der Table Entries anzeigen lassen kann ?

[mimugmail]

Müsste ich jetzt selbst google, irgendwas mit pfXXX bestimmt

[Oxygen61]

Hey hey,

sitzt du noch an der https://lists.blocklist.de/lists/all.txt ??
Ich hab die gerade mal bei mir hinzugefügt und hat auch erstaunlicher weise super funktioniert.
Ich hab sicherheitshalber vorher die config gespeichert und die Entries auf 1,5 Mille erhöht um sicher zu gehen.
Dann die Liste ausgetestet und die Regel springt ein sobald ich irgendeine IP anwähle.
Klappt bei mir also zu mindestens.

FireHol kannte ich noch gar nicht. Die is ja auch nicht schlecht, blockt jedoch auch private Subnetze was man vorher wissen muss. Das stand dort auf der Seite aber auch irgendwo, dass empfohlen wird diese Liste für "in das LAN" zeigende Verbindungen am WAN Interface einzustellen um eine Grundsicherung für Webserver zu erhalten.

Unglaublich spannendes Thema.

Schöne Grüße
Oxy

[Wayne Train]

Hi.
Ich habe mir die "all" jetzt mal reingebügelt, ging auch problemlos, aber anschliessend hats dann doch gerappelt.
Ich habe die size vorher nicht angepasst, da ich wissen wollte was passiert. Das weiß ich jetzt :-)
Kann aber auch sein, dass es nicht an den Einträgen, sondern an der Leistungsfähigkeit des Systems liegt.
Das ist ne kleine APU....
Werde mir das am WE nochmal genauer anschauen. Was für ein System nutzt du ?
MFG
Wayne

[Oxygen61]

Bei mir läuft alles supi. Aber meine Kiste is auch völlig oversized (vielleicht?)
Ich nutze die hier:
http://www.lannerinc.com/products/x86-network-appliances/x86-desktop-appliances/fw-7525

Bei mir rappelt gar nix, ganz im Gegenteil ich muss aufpassen, dass mir die Kiste nich vor lauter Langeweile absäuft. Haha 

Man muss aber sagen, dass ich vorher die Anzahl der Table Entries stark erhöht hatte bevor ich anfing die FireHol_Level1 Blacklist einzubauen. (http://iplists.firehol.org/?ipset=firehol_level1#)
Liste: (https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset)
Achtung an der Stelle: die FireHol_Level1 Blacklist blockt auch sämtliche private Adressen weg, also Vorsicht bei der Reihenfolge der Regeln.

Für die die es interessiert: Ich hab für die Änderung der Einstellung der Update Frequency ein Ticket aufgemacht. Würd mich freuen wenn da noch etwas Zuspruch kommt, damit die Überlegung auch tatsächlich irgendwann mal umgesetzt wird. Siehe: https://github.com/opnsense/core/issues/1703

[JeGr]

Das hätte mich auch sehr irritiert, wenn du die Dora so schnell schon ausgereizt hättest
So schnell macht der 5er Atom da eigentlich nicht schlapp

[Oxygen61]

Haha, Nein keine Sorge die ist ein Fels in der Brandung. Ungefähr die Hälfte meiner Umstellung ist jetzt durch und die Kiste ist nicht klein zu kriegen. Nächste Woche wird dann zum ersten mal etwas Verschlüsselung konfiguriert. Mal schauen wie se sich macht. Hehe