OPNsense: IPS - Domains statt IPs
Hallo Zusammen
Ich habe diese Woche bemerkt, dass unter gewissen Umständen ab und zu gewisse Windows Updates vom IPS in der OPNsense geblockt werden. Ich wollte nun eigentlich für die Adressen, bei denen sich Windows seine Updates holt in der IPS eine Ausnahme erstellen. Allerding stehe ich dabei vor zwei Problemen:
1.) Anscheinend kann man in den User defined rules nur IPs, bzw. Subnetze eintragen. Bin ich hier zu blöd und das stimmt nicht, oder kann man wirklich keine Domains bzw. URLs als Regeln hinzufügen?
2.) Selbst wenn ich mir die idiotische Arbeit machen würde, und jede einzelne Adresse zu ihrer IP auflösen würde, so ist es anscheinend nicht möglich mehrere IPs oder ein Alias mit mehreren IPs für eine Regel zu hinterlegen. Ich müsste also für jede IP eine eigene Regel machen?
Hoffe ich bin gerade einfach nur zu blöde...
LG ludaku
Ich habe diese Woche bemerkt, dass unter gewissen Umständen ab und zu gewisse Windows Updates vom IPS in der OPNsense geblockt werden. Ich wollte nun eigentlich für die Adressen, bei denen sich Windows seine Updates holt in der IPS eine Ausnahme erstellen. Allerding stehe ich dabei vor zwei Problemen:
1.) Anscheinend kann man in den User defined rules nur IPs, bzw. Subnetze eintragen. Bin ich hier zu blöd und das stimmt nicht, oder kann man wirklich keine Domains bzw. URLs als Regeln hinzufügen?
2.) Selbst wenn ich mir die idiotische Arbeit machen würde, und jede einzelne Adresse zu ihrer IP auflösen würde, so ist es anscheinend nicht möglich mehrere IPs oder ein Alias mit mehreren IPs für eine Regel zu hinterlegen. Ich müsste also für jede IP eine eigene Regel machen?
Hoffe ich bin gerade einfach nur zu blöde...
LG ludaku
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667458
Url: https://administrator.de/forum/opnsense-ips-domains-statt-ips-667458.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
4 Kommentare
Neuester Kommentar
Moinsen!
Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht.
Da ich nur die PfSense und Snort halbwegs gut kenne muss ich raten, aber:
Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist. Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.
Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.
Musst du dich etwas einarbeiten. Dokumentation der Regeln ist grottig.
VG
Buc
Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht.
Da ich nur die PfSense und Snort halbwegs gut kenne muss ich raten, aber:
Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist. Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.
Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.
Musst du dich etwas einarbeiten. Dokumentation der Regeln ist grottig.
VG
Buc