Aliase werden nicht aufgelöst/geladen

Started by guest18611, July 28, 2018, 02:33:50 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 28, 2018, 02:33:50 PM
Hallo,

Ich habe mir nach dieser Anleitung https://wiki.opnsense.org/manual/how-tos/edrop.html die Aliase für DROP und EDROP angelegt. Zusätzlich habe ich mir noch je ein GeoIP Alias für Inbound und Outbound angelegt...

Aber leider wird mir unter Firewall:Diagnostics:PFTables nur IP's für den Alias EDROP angezeigt...die anderen sind alle leer.

Folgendes habe ich schon versucht:
Unter Firewall:Settings:Firewall Maximum Table Entries habe ich 2 Mio. eingetragen.
Unter System:Settings:Cron einen Task erstellt der jede Stunde die Aliase neu lädt.
Einen Neustart...wobei ich mich dann sogar ausgesperrt habe da mein "Vertrauenswürdigen Geräte" Aliase auch leer war  ::)

Ich weiß nicht mehr weiter und brauche eure Hilfe :) Vielen Dank schonmal!
July 28, 2018, 02:46:11 PM #1
Hey,
steht was in den Logs unter System: Log Files: General was auf ein Problem mit den Alias hinweißt? Hast Du vielleicht ein Leerzeichen am Anfang oder Ende der URL? Kannst Du die URLs im Browser aufrufen?

Hab es auch nach der Anleitung eingerichtet und es funktioniert ohne Probleme.

Gruß
Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose
July 28, 2018, 03:02:32 PM #2
Hallo JasMan,

Vielen Dank schon einmal!
In den Logs sehe ich:
Code Select
update_tables.py: fetch alias url https://www.spamhaus.org/drop/edrop.txt (lines: 116)
aber kein eintrag für die Drop.txt
Code Select
update_tables.py: geoip updated (files: 480 lines: 373315)
Für Geoip nur einen Eintrag von vorgestern.

Leerzeichen habe ich auch schon geprüft, aufrufen kann ich beide URL's problemlos.

Was mir eben noch aufgefallen ist, Aliase mit einem Host werden angezeigt, aber Aliase mit mehreren Hosts werden nicht angezeigt... z.B. Spielekonsole wird angezeigt, dort ist auch nur eine IP drin.
Aber der Alias für die vertrauswürdigen Geräte mit 5 IP's wird nicht angezeigt  :-\


July 28, 2018, 03:29:17 PM #3
So auf den ersten Blick hätte ich gesagt "Dreh mal die 'Maximum Table Entries' hoch".
Aber da bist Du ja schon selbst drauf gekommen.  :)

- Hast Du das Problem auch, wenn Du jetzt einen neuen Alias anlegst?

- Ging es vorher und nach einem Update nicht mehr?

- Im Alias selbst für z.B. die vertrauenswürdigen Geräte sind aber alle Hosts weiterhin eingetragen, nur unter pftables siehst Du dann nur einen? Dann könnte man vermuten das irgendwo ein "böses" Zeichen oder so drin steht, und der beim Laden der Aliase irgendwo abbricht. Das sollte dann aber in den System Logs stehen.


Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose
July 28, 2018, 10:26:59 PM #4
Quote- Hast Du das Problem auch, wenn Du jetzt einen neuen Alias anlegst?
Ja - gerade probiert

Quote- Ging es vorher und nach einem Update nicht mehr?
Habe bis jetzt kein Update gemacht, erst vor ein paar Tagen installiert und dann sofort auf die aktuelle Version aktualisiert.

Quote- Im Alias selbst für z.B. die vertrauenswürdigen Geräte sind aber alle Hosts weiterhin eingetragen, nur unter pftables siehst Du dann nur einen?
Ja ich sehe sie auf der Übersicht mit einem Komma getrennt und in dem Alias Edit Modus sind sie unten in dieser "Tabelle" gepflegt.
Wenn ich mir dann dazu die pftables anschaue, dann steht dort: Keine Einträge.

Komisch ist nur das er die Liste für edrop geladen hat sowie die eine IP für die Spielekonsole...
July 30, 2018, 09:22:21 PM #5
Hi,

Kurze Rückmeldung...nach langem testen habe ich herausgefunden das es die GeoIP Aliase waren...
Angelegt habe ich sie wie im Bild und dann z.B. Afrika, Asien und Indien ausgewählt.

Muss ich etwas beachten? Darf man nur ein Geo Abschnitt pro Alias auswählen?
August 02, 2018, 08:27:35 PM #6
Hallo,

Ich habe nochmal eine Frage zu den GeoIP's...

Wenn ich mir ein Alias mit dem Land Germany erstelle und diese Alias als Source auf dem WAN Interface als Allow eintrage, werden dann alle andere Länder geblockt? Oder muss ich im Alias alle Länder bis auf Deutschland anklicken und dann ein Block auswählen in der Regel?
August 03, 2018, 07:41:34 AM #7
Beides funktioniert.

Aus Performance Sicht ist es sicherlich besser die Lösung mit den wenigsten Einträgen zu wählen. In diesem Fall also ein "Allow" für Germany.
Bei einem "Block" für alle anderen Länder, würde der Alias einiges mehr an IP Adressen enthalten, und müsste diese bei jeder Anfrage abgleichen. Mit einem "Allow" für Germany ist die Anzahl der abzugleichenen IPs kleiner,  somit weniger Aufwand für die FW beim Check von eingehenden Verbindungen.

Aus der Sicht der Sicherheit sollt man immer nur das freigeben, was man auch benötigt. Sprich auch wenn Du alle Länder bis auf Germany freigeben willst, würde man einen Alias mit allen anderen Ländern anlegen und diesen "Allowen".

Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose
August 03, 2018, 09:21:34 AM #8
Das stimmt mit den wenigsten Einträgen. Wenn mann dann doch "alle anderen Länder ausser..." braucht, kann man in den Regeln die Auswahl "invertieren" nutzen anstatt noch einen Alias anlegen zu müssen. :)


Grüsse
Franco
Print
Go Up Pages1
User actions