• Sicherheitsmaßnahme! Bitte ändere dein Forum-Passwort. Siehe Beitrag
  • Hardwareluxx führt derzeit die Hardware-Umfrage 2026 (mit Gewinnspiel) durch und bittet um eure Stimme. Unter allen Teilnehmern verlosen wir eine aktuelle Grafikkarte Eurer Wahl bis 1099 EUR.

[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Aber das musst Du ja mit Community Listen füttern. Hatte da wie gesagt erst mal abuseipdb.com genommen.
läuft bei mir direkt ohne große Konfiguration:
Bildschirmfoto 2026-07-04 um 17.38.12.png


Crowdsec bringt eher wenig im free tier.
Besser als gar nichts ist es auf jeden Fall
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja, für gewisse Angriffsvektoren gehen die IPs ins Jail. Wenn z.B. jemand 7x erfolglos anklopft. Mit den Community Listen werden die gleich von Anfang an geblockt. Beim Honeypot auch.

Schau mal ins CrowdSec: Decisions, ob da schon wer drin steht. Bei mir hat es immer so 1500-3000 IP Adressen drin aus den letzten 72h.
 
@toscdesign Q-Feeds kannst Du dir angucken und firehol_level1. Crowdsec bringt eher wenig im free tier.
Die gibts gar nicht im Portal, wird mit zumindest nicht angezeigt.
Hab jetzt erstmal die hier genommen:
Bildschirmfoto 2026-07-04 um 17.46.59.png

Ja, für gewisse Angriffsvektoren gehen die IPs ins Jail. Wenn z.B. jemand 7x erfolglos anklopft. Mit den Community Listen werden die gleich von Anfang an geblockt. Beim Honeypot auch.
muss ich mir mal anschauen.

Schau mal ins CrowdSec: Decisions, ob da schon wer drin steht. Bei mir hat es immer so 1500-3000 IP Adressen drin aus den letzten 72h.
Sind so 15k Einträge aus der Cummunity List. Die ist nur per SSH abrufbar:
Bildschirmfoto 2026-07-04 um 17.49.58.png

In der GUI selbst ist noch nix.
 
Ja, bei mir stehen die direkt in der GUI. Die Community Liste musstest Du aber händisch eintragen in Crowdsec? Finde es nicht mehr gerade, wie ich das eingerichtet hatte damals. Ist schon eine Weile her. Musste aber für die Community Liste einen Account bei abuseip machen. Da bekommt man einen Token, den man in Crowdsec eintragen muss. So weit ich noch in Errinerung habe.

Die Liste in CrowdSec: Decisions sollte sich dann füllen:

Screenshot 2026-07-04 175706.png
 
Die Community Liste ist automatisch gesetzt und wird nicht in der GUI angezeigt, steht sogar direkt bei dir im Screenshot als "Note:" 😅
 
Ja, wie gesagt, ist schon eine Weile her. Ich musste die händisch eintragen, mit einem Drittanbieter Token. Wenn man da die komplette Liste will, muss man Münzen einwerfen. Aber die funktioniert bei mir leider gar nicht mehr, wegen meinem SSH Gebastel. Kümmere ich mich dann darum, wenn ich Netzwerk umgebaut habe im Herbst.

Bin noch auf OPNsense 25.7.11_9-amd64, vielleicht liegts daran. Kein Bock auf Update, wegen den neuen FW Regeln. Die muss noch durchhalten bis im Herbst.
 
Ich bin schon auf der neusten OpnSense 26.1.11_6, das alte Regelsystem läuft immer noch. Zum neuen muss man erst beim nächsten größeren Update wechseln.
 
@BobbyD
Ich setze deine auch mal rein.
Einfach diesen Alias anlegen und als Block Rule auf dem WAN Interface?


Nebenbei, der Netbird Server läuft und ist erreichbar.
Ich hoffe doch ich habe die NAT Regeln und die entsprechenden WAN Regeln dazu richtig gesetzt?

NAT:
Bildschirmfoto 2026-07-04 um 20.34.05.png

WAN:
Bildschirmfoto 2026-07-04 um 20.33.33.png


IPv6 ist bei mir komplett deaktiviert und geblockt. Nur falls jemand fragt 😅
 
Zuletzt bearbeitet:
Einfach diesen Alias anlegen und als Block Rule auf dem WAN Interface?
Genau. Man kann auch eine solche Regel auf nem LAN machen, um Kontakte zu auf der Liste zu unterbinden, kann aber auch false positives geben...
Ich hoffe doch ich habe die NAT Regeln und die entsprechenden WAN Regeln dazu richtig gesetzt?
Wenn Netbrid nicht auf der OPNsense läuft, dann sieht das grundsätzlich richtig aus. Wobei ich es selbst nicht nutze und daher nicht mehr sagen kann, als dass Du eine Portweiterleitung eingerichtet hast, drei um genau zu sein. ;)
 
Habe die firehol Regel auch eingerichtet, aber bisschen weniger restriktiv. Und den Honeypot auch noch bisschen schärfer eingestellt. Ja comme ruhig!


Screenshot 2026-07-04 222254.png


Screenshot 2026-07-04 222341.png
 
Bei mir blockt gerade CrowdSec massenweise aufrufe.
Quasi im Sekundentakt. Würde fast behaupten das es Portscans sind, von den Ports her.
 
Ich hoffe doch ich habe die NAT Regeln und die entsprechenden WAN Regeln dazu richtig gesetzt?
Moin, wenn ich jetzt noch mal drauf gucke, dann fällt doch das unterschiedliche Protokoll bei der letzten Regel auf.

Ich würde mir ja unter DNAT die Firewall-Regeln mit Register rule automatisch erstellen lassen. Interessant, dass die OPNSense das nicht mehr empfiehlt.
By default, firewall rules need to be created manually, which is also the advised option. Alternatively you can use Pass, which passes traffic on the nat rule (not visible in the rules tab) or register automatic interface rules which can be overruled via rules with a higher priority...
Würde ich also dennoch machen, damit erledigen sich dann hoffentlich solche Flüchtigkeitsfehler.
Wichtig ist noch, nicht pass zu verwenden, es sei denn, man hat die docs dazu vollständig gelesen und verstanden.

Wenn Du möchtest, teil doch mal ein vollständiges Bild von den WAN Rules, inkl. dem Auge-Button (statistics).
Screenshot 2026-07-05 090055.png
 
Zuletzt bearbeitet:
Moin, wenn ich jetzt noch mal drauf gucke, dann fällt doch das unterschiedliche Protokoll bei der letzten Regel auf.
Oh man, das steht noch auf TCP :wall:

Ich würde mir ja die Firewall-Regel mit Register rule automatisch erstellen lassen. Interessant, dass die OPNSense das nicht mehr empfiehlt.
Genau deshalb habe ich es auch nicht gemacht, weil Opnsense es so empfohlen hat.

Wichtig ist noch, nicht pass zu verwenden, es sei denn, man hat die docs dazu vollständig gelesen und verstanden.
So steht es in den Guides. Warum das wieder nicht?


Edit gerade gesehen, das Opnsense hier ganz schön viele Regeln automatisch anlegt.
(Die Portweiterleitung sowie die Pass Regeln für Netbrid sind aktuell sowieso abgschaltet, nach meinen Experimenten gestern):
Bildschirmfoto 2026-07-05 um 09.19.25.png


Edit:
Gerade interesant zu sehen wie eine O2 (Telefonica) IP die ganze Zeit versucht auf den Port 443 zuzugreifen, der aktuell geblockt wird.
Lt. logs geht das schon seit Stunden so, alle paar Sekunden. Immer vom gleichen Source Port auf diesen Port.
Die scheinen da einen internen Sicherheitsscan laufen zu haben? Ich bin O2 Kunde beim DSL.

Upps, das bin ich selbst :hust:
Da versucht Netbird wohl die Verbindung zu testen 😅
Beitrag automatisch zusammengeführt:

Ich sollte mir erstmal nen Kaffee holen :coffee2:
 
Zuletzt bearbeitet:
So steht es in den Guides. Warum das wieder nicht?
Das bezog sich nur auf die Auswahl bei DNAT, nicht auf die Regels.
Das Auge hattest Du jetzt nicht aktiv.
:coffee2:
Was auch immer mikrotik forward genau ist, wenn dieser nur von ganz bestimmten Hosts aus dem Internet erreichbar sein soll, könntest Du hierfür einen Alias als Source verwenden, ggf. auch mit DynDNS-Einträgen. Sieht aber soweit alles gut aus, war ja auch nicht anders zu erwarten. 😉
 
Zuletzt bearbeitet:
Das bezog sich nur auf die Auswahl bei DNAT, nicht auf die Regels.
Hattest Du das Auge aktiv?
Verstehe nicht worauf du hinaus willst :confused:

Wobei Du ja alles deaktiviert hast, wäre also eh nix zu sehen gewesen.
Was wäre zu sehen gewesen?

Und die oberen automatischen Regeln brauchte es jetzt nicht.
Wieso? Für mich klingen die Sinnvoll. Die werden von OpnSense bei der Grundinstallation angelegt, bis auf die Crowdsec Regeln, die legt CrowdSec an.

Was auch immer mikrotik forward genau ist, wenn dieser nur von ganz bestimmten Hosts aus dem Internet erreichbar sein soll, könntest Du hierfür einen Alias als Source verwenden, ggf. auch mit DynDNS-Einträgen.
Das war ein altes Überbleibsel, ist schon lange deaktiviert. Die NAT Regel dazu auch.
 
Verstehe nicht worauf du hinaus willst
Hab es etwas präzisiert. Es geht dabei nur darum, was Du unter DNAT bezüglich der Firewall-Regeln auswählen kannst. Meine Empfehlung: register rule.
Was wäre zu sehen gewesen?
Mach es doch einfach mal an. Auf meinem Screenshot sieht man da was.
Für mich klingen die Sinnvoll.
Ich wollte sie nur nicht sehen.
 
Hab es etwas präzisiert. Es geht dabei nur darum, was Du unter DNAT bezüglich der Firewall-Regeln auswählen kannst. Meine Empfehlung: register rule.
Achso, dann hatte ich das falsch verstanden 😅

Mach es doch einfach mal an. Auf meinem Screenshot sieht man da was.
Ja hab ich gesehen, bei dir sind die NAT Regel als automatische Regeln angelegt. Das sagtest du bereits.
Ich hatte das so verstanden, das ein externer was sieht und das ich das falsch konfiguriert hätte 😅

Ich wollte sie nur nicht sehen.
Ich habe das so verstanden das du alle sehen willst, hast du ja geschrieben:
"Wenn Du möchtest, teil doch mal ein vollständiges Bild von den WAN Rules"
 
Ja hab ich gesehen
Es ging um das Auge, das hattest Du nicht an, s. mein Screenshot. Wenn beim Auge nichts erscheint, dann kann das ein Hinweis auf eine falsche Regel sein: Eine Regel, die nie greift. So wäre z.B. deine Regel mit dem falschen Protokoll wahrscheinlich aufgefallen, weil es überhaupt keine Treffer dazu gegeben hätte. Auch auf dem LAN kann das Auge wertvolle Hinweise geben.
Bei mir sieht es inzwischen so aus:
Screenshot 2026-07-05 115714.png
 
Zuletzt bearbeitet:
Ah ok, jetzt kapiere ich was du von mir willst 😅
Beitrag automatisch zusammengeführt:

Edit:
Die Ansicht über das Auge gibt es bei mir noch nicht, da ich noch die alten Regeln verwende.
Ich kann das nur im Livelog sehen.
 
Zuletzt bearbeitet:
Die Ansicht über das Auge gibt es bei mir noch nicht, da ich noch die alten Regeln verwende.
Inspect gibt es auch bei den alten Regeln, aber die Ansicht ist weniger schön.
Zu den Regeln [new] würde ich jetzt migrieren, denn bevor dem Release von 26.7 sollte das abgeschlossen sein und die kommt in weniger als zwei Wochen.
Zu SNAT muss man dagegen noch nicht migrieren, das sieht noch nicht final aus.
 
Zuletzt bearbeitet:
@BobbyD
Also irgendwas macht die OpnSense gerade wieder verkehrt, oder ich bin zu blöd.

Hab das jetzt wie von dir beschrieben beim NAT als "registred rule" eingestellt. Die Regel wird auch erstellt:
Bildschirmfoto_20260705_130635.png

Trotzdem blockt es die Firewall weg :confused:
Bildschirmfoto_20260705_130425.png

Und Netbird meckert zu recht:
Bildschirmfoto_20260705_130738.png
 
Trotzdem blockt es die Firewall weg
Was sagt denn Inspect (das Auge), gibt es Treffer auf dieser Regel?
Ansonsten nochmal komplette Bilder von DNAT und den Regeln hier einstellen, aber ohne die oberen, automatischen Regeln. Da aber manches (zu recht) geschwärzt ist, anderes sich hinter Aliases versteckt, ist es natürlich schwer, was definitives zu sagen.
 
Wie gesagt das Auge gibt es bei mir nicht
 
Wie gesagt das Auge gibt es bei mir nicht
Screenshot 2026-07-05 134146.png
Sollte es geben (OPNsense 26.1.11_6).
So oder so dann noch die neuen Bildchen hier einstellen, und ich kann versuchen, etwas auszumachen.
Beitrag automatisch zusammengeführt:

Bei mir geht es jedenfalls, also kein OPNsense Bug. 😉

Screenshot 2026-07-05 142559.png
Screenshot 2026-07-05 142440.png
 
Zuletzt bearbeitet:
Ja hab den Fehler gefunden, die automatischen Regeln funktionierten nicht.
Habe das wieder auf Manuel gestellt und exakt die selbe Regel manuell auf dem WAN Interface gesetzt und es funktioniert sofort!

Bildschirmfoto_20260705_144410.png

Ergo hat OpnSense recht, das man hier nicht die automatischen Regeln verwenden soll!
 
@BobbyD
Immerhin funktionieren die automatischen Regeln von Crowdsec:

Bildschirmfoto_20260705_152658.png
 
Jupp, die ganzen "Port Scans" sind auch im Crowdsec Portal drin. Scheint also alles zu funktionieren 👍

Screenshot_20260705-224201.png
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh