Firewall-Log/ Bezeichnung/ (@xx)

[ford]

Servus,

bin gerade beim Feudeln- Quasi am Packet-Flusensieb reinigen.
Unter anderem möchte ich, für mich sinnlose, Alerts deaktivieren.
(...was bei Suricata übrigens sehr unspassig ist)

Beim Firewall-Log verstehe ich allerdings etwas nicht so ganz,
wie zum Beispiel:

GUI
>Firewall
>>Log Files
>>>Normal View

Tabellenspalte "Rule":
Eintrag zum Beispiel "(@73)"

Mit der Regel "73" kann ich irgendwie wenig anfangen.
Wie kann ich nachvollziehen, welche Regel dies ist?

thx&
greets
Rainer

[franco]

Servus Rainer,

Über Firewall: Diagnose: pfInfo: Tab "Rules".


Grüsse
Franco

[ford]

THX Franco

Jetzt bekommt die "description" der Rules auch einen richtigen Sinn ;-)

Aufgefallen ist mir Eine, die munter vor sich hin logged und blocked, ich aber immer noch nicht zuordenen kann.
(x.x.x.x ist hier die IP vom Gateway an dem igb0 x.x.x.x+1 (WAN) hängt)

@71 pass out log route-to (igb0 x.x.x.x) inet from (igb0:1) to ! (igb0:network:1) flags S/SA keep state allow-opts label "let out anything from firewall host itself"

Wo könnt' ich diese Regel denn in der GUI finden, bzw. wo kann ich Die bearbeiten?
[hint: surpriseCATA spielt nach einem update mal wieder Streiche]


greets
Rainer

[franco]

Hi Rainer,

Das ist noch ne 17.1.x? Die Regel kann nur rausschieben, nicht blocken. Wird intern generiert. Meistens von einem internen Service wie dem Proxy oder NTP usw. genutzt. Suricata scheint es nicht zu sein. oO


Grüsse
Franco

[ford]

Servus Franco,

yepp, is die 17.1.11.

Das sind fast nur DNS/53 er.
-Du schriebst rausschieben-
Also werden DNS requests nicht rausgeschoben.
Der NTP macht keine Mucken und sagt auch nix... scheidet glaube ich aus.

Hmm, wenn ich _nur_ IDS abklemme läufts, wesshalb ich auf suricata kam.
Dort steht aber nix im log ;-/

Aber ich seh schon... Meister Reineke first ;-)
Q:
#1 consolen update?
#2 wenn gemacht, wo soll ich deiner Meinung weitersuchen?


pfiat di
Rainer

[franco]

Oha, das klingt doch ganz nach dem hier, aber für 17.7 gemeldet: https://forum.opnsense.org/index.php?topic=5605.0

Beruhigt mich etwas, dass es scheinbar an Suricata selbst liegt.

Vielleicht das Suricata 3.2.3 Update? Wir sollten die 3.2.2 probieren...

# pkg install -f https://ftp.yzu.edu.tw/opnsense/FreeBSD:11:amd64/17.1/MINT/17.1.9/OpenSSL/All/suricata-3.2.2.txz

Zurück zur 3.2.3 gehts mit:

# opnsense-revert suricata

4.0.0 ist auch "betroffen", vielleicht liegt es dann eher an den Rule-Sets...

[ford]

Oha, das klingt doch ganz nach dem hier, aber für 17.7 gemeldet: https://forum.opnsense.org/index.php?topic=5605.0

Habs angelesen und yepp, same here.

Vielleicht das Suricata 3.2.3 Update? Wir sollten die 3.2.2 probieren...

ziemlich genau mit dem update zu 3.2.3 fings hier an.

# pkg install -f https://ftp.yzu.edu.tw/opnsense/FreeBSD:11:amd64/17.1/MINT/17.1.9/OpenSSL/All/suricata-3.2.2.txz

Da gibts kein 17.1.9/3.2.2 mehr. <grummel>
Bei den Franzosen "erscheint" unter "experimental" eine 3.2.2, aber nur als html.
Auf den anderen mirrors existiert der Baum gar nicht.
btw. Ecuador:
(Universidad Estatal de Bolívar) http://mirror.ueb.edu.ec/opnsense ->404
(Universidad Técnica de Ambato)&(Escuela Politécnica Nacional) http://mirror.uta.edu.ec/opnsense/ ->505

=> need working link ;-)

greets
Rainer

[franco]

# pkg add -f https://pkg.opnsense.org/snapshots/suricata-3.2.2.txz

[ford]

thx& [X]done

läuft bisher ohne murren, die FW-Logs bleiben ?-)
Anyway, subject accomplished.

THX
Rainer

Aufgetauchte Herausforderung mit suricata 3.2.3/ DNS klären wir zusammen hier->

https://forum.opnsense.org/index.php?topic=5605.0

[franco]

top, danke Rainer!