Aktuell habe ich auf dem WAN-Interface keine Freigabe-Regel. [...]
1. Frage:
Nach meinem Verständnis nach brauche ich Länderlisten erst einmal gar nicht scharf schalten, da aktiv von außen keine Anfrage zugelassen ist.
Es geht hier nicht um portspezifische, sondern um allgemeine Anfragen aus dem Internet. Wenn du z.B. eine GeoIP Sperre für ein Land bzw. eine Region eingerichtet hast, dann werden alle eingehenden - also inbound - Anfragen aus diesem Land bzw. dieser Region abgewiesen, unabhängig vom Port. Wobei diese Anfragen i.d.R. alle über den HTTP Port 80 oder HTTPS Port 443 einlaufen, welche bekanntlich immer offen sind, da du sonst keine Internetverbindung aufbauen könntest.
GeoIP Sperren können bekanntlich leicht umgangen werden, daher kann man den Nutzen bzw. die Aktivierung sicherlich kontrovers diskutieren.
Ich kann mir auch irgendwie nicht vorstellen, dass z.B. der nordkoreanische Hacker mit einer Nordkoreanischen IP um die Ecke kommt.
Oftmals ist es wohl so, das sich der nordkoreanische Hacker - um bei deinem Beispiel zu bleiben - deinem System eine deutsche IP vorgaukelt. Auch sind es oftmals Bots, die das Internet nach Schwachstellen durchforsten und diese Bots können dann auch mit unterschiedlichen GeoIP Adressen um sich schlagen.
Nun ist in der
Anleitung von @Tommes dann die Anschaltung auf "deny inbound" gesetzt. Das wäre bei mir nach Anleitung das WAN-Interface.
Fürs Protokoll: Die Anleitung ist nicht von mir, ich habe sie nur verlinkt. Aber ja... zunächst willst du ja nicht, das irgendwas über dein WAN-Interface in dein LAN gelangt, was da nicht hin soll. Daher immer inbound - also eingehende Regeln definieren. Outbound oder both geht sicherlich auch, für den Otto-Normal-Verbraucher würde es aber auf inbound beruhen lassen. Baust du deine Verbindung von intern nach extern - also outbound - auf, dann willst du das in der Regel ja. Ansonsten würde die Verbindung gar nicht erst zustande kommen.
Ist es wie in der Anleitung geschrieben zwingend für die Funktion nötig, die Konfiguration des DNS-Resolvers dediziert auf ein- und ausgehend festzulegen?
Nein. Das steht da aber auch so nicht drin, das du das tun sollst. Da steht, das der DNS-Resolver standardmäßig alle Schnittstellen verwendet. Nur wenn du zwischenzeitlich Änderungen vorgenommen hast, solltest du nachschauen, ob LAN (ausgehend) und WAN (eingehend) eingebunden sind. Optional können weitere Interfaces eingebunden oder ausgeschlossen werden.
Und eine letzte Frage: Was sollen die beiden "allowed" Regeln, die jetzt hinzugefügt wurde.
Die leiten alle eingehenden (inbound) Anfragen an den pfBlocker (IP 10.10.10.1) weiter. Einmal zum Filtern der IPv4 Anfragen und einmal zum Filtern der DNSBL Anfragen.
Tommes