pfsense - der nächste Schritt

[Tommes]

Andersrum, wenn jemand versuchen würde, mein Netz über Port 80/443 zu erreichen, dürfte das auf Grund der fehlenden offenen Verbindung nicht klappen.[...] Blocken wollte ich jetzt Verbindungen, die aus dem LAN heraus zu bekannten "schlechten" IP's aufgebaut werden sollen.

Genau das macht pfBlocker ja. pfBlocker hat aber nichts mit Portfreigaben zu tun. pfBocker verhindert, das selbst aufgerufene Websites oder IP Adressen, oder Seiten die beim Aufruf einer externen Website mit- bzw. nachgeladen werden, aufgerufen werden können.

Beispiel: Du hast in einer deiner Filterlisten z.B. die Internetseite bild.de eingetragen. Gibst du nun in der Adresszeile deines Browser diese Adresse ein, dann wird diese von pfBlocker blockiert. Würde die Internetseite bild.de externe Inhalte von Werbetreibenden anbieten, die ebenfalls in deiner Filterliste steht, dann würden auch diese blockiert. Von daher immer inbound. Ich habe das testweise mal mit einer alternativen Website nachgestellt, um dir das Ergebnis zu zeigen...

 

[Tommes]

Dieser Downloadfehler - macht es Sinn, da die volle Stunde default ist, vielleicht auf 15, 30 oder 45 zu gehen?

Ich habe diese Filterliste ausgeschaltet, da sie scheinbar nur sporadisch erreichbar ist bzw. auf eine andere Seite weitergeleitet wird.


Hab mich noch nicht näher damit beschäftigt, nach den genauen Ursachen zu suchen.

 

[Fidibus]

@Tommes , dann habe ich deine Ausführungen im post #17 nicht richtig verstanden. Das bei pfblocker keine Ports gecheckt werden, das ist mir schon klar.
Insofern ist die ist - wenn es dann so läuft - die Regel aus post #16, Zeile 2 so zu verstehen:
Alles, was von den internen IF in Richtung aller anderen Interface geht, wird über die Filterliste, die sich hinter 10.10.10.1 versteckt, kontrolliert. Für das, was Inhalt der Filterliste ist, ist keine (sichtbare) FW-Regel angelegt und nur über die Konfigseiten des pfblockers, DNSBL sichtbar.
Der Sinn der GeoIP Listen erschließt sich mir nicht wirklich - oder gibt es da was, woran ich nicht denke?

Bin die Tage leider wieder nicht am Gerät...*grrr*

 

[the other]

Moinsen,
was genau ist denn das Problem ("erschließt sich nicht richtig") bzgl IP Listen bzw. GeoIP?

Wenn du eh alles eingehend auf WAN geblockt hast, dann egal, WAN ist verriegelt und verrammelt und gut.
Nun soll es ja Menschen geben, die einen eigenen Server betreiben, dafür dann einige Ports geöffnet haben und trotzdem nicht wollen, dass sich die ganze Welt an diesem Zugang und den geöffneten Ports abarbeitet.
Dafür kann dann zB die IP Sperre genutzt werden.

Beispiel: ich habe "nur" einen Port offen, den für openVPN. Da bekomme ich dann auch diverse "Anklopf" Versuche über den Tag. Da ich idR in Europa bin, hier ebenfalls eher lokal unterwegs, habe ich daher zB alle IPs aus Ländern UNGLEICH Deutschland (und angrenzende) verboten. Ergebnis: deutlich weniger "Rauschen" auf dem Zugang.

Kurz: keine Dienste nach außen offen > kein IP Block nötig (Deny all auf WAN); Dienste (Mail, Server, usw) offen nach draußen > Option, bestimmte Länder oder IP (nach Listen) zu sperren, sowohl IN ("du kommst hier nicht rein") als auch OUT ("du, oh mein Mailserver, kontaktierst nicht die Spamschleuder auf IP xyz").

Bringt das Erleuchtung für dich?

 

[Fidibus]

Wenn du eh alles eingehend auf WAN geblockt hast, dann egal, WAN ist verriegelt und verrammelt und gut.

Danke - das ist genau die Bestätigung zu dem, was ich versucht habe zu fragen

 

[Fidibus]

Hab mich noch nicht näher damit beschäftigt, nach den genauen Ursachen zu suchen.

Ich habe auf 15min gesetzt gestern, heute keinen Fehler im Protokoll auf der Statusseite.

 

[Tommes]

Keine Bange, die Meldung kommt irgendwann wieder. Ganz sicher…

 

[Fidibus]

die Meldung kommt irgendwann wieder. Ganz sicher…

Bestimmt. Aber bis jetzt kein weiterer Fehlschlag.
Damit ist es zumindest aus meiner Sicht ein guter workaround, hin und wieder Fehlschläge sind ehr wenig Kriegsentscheidend.
Ich werde mich hier in diesem Thread ggf. später noch einmal melden, wenn mir weitere Funktionen auffallen.
Aber keine Sorge, der nächste thread wird bestimmt den VPN-Server betreffend.

 

[Fidibus]

Aber bis jetzt kein weiterer Fehlschlag.

Nur mal als Zwischeninfo: Talos antwortet bisher immer, wie alle anderen Quellen auch.
Oder das Log wird nicht mehr angezeigt .