15
Pfsense Firewall Fragen
Hallo,
jetzt habe ich zu pfsense einige Fragen. Ich fang mal mit folgenden an.
1. kann ich bei pfsense bei der Firewall Regel Spamhaus DROP Regeln blocken. Ich hatte das bei opnsense als alias eingetragen.
"https://www.spamhaus.org/drop/edrop.txt " habe das hier auch so gemacht. Welche anderen URLs die kostenlos sind, würdet sind
noch zu Empfehlen.
2. DNS Blocking (DNSBL / pi-hole) mache ich dann bei pfsense über pfblocker. Unter dem TAB DNSBL in die Zeile DNSBL Virtual IP,
kommt dann welche IP rein. Kann ich da nicht die 127.0.0.1 nehmen, weil dahin sollten ja die DNS anfragen weitergeleitet werden?
3. Suricata
Es gibt dort nur 2 freie Regelwerke die man downloaden kann. Wenn man andere Listen unter dem TAB "Global settings"
wie z.b. "abuse.ch" eintragen will, geht das nicht?
3.B
Ich sehe hier aber nicht die Regeln, wie ich es bei opnsense sehe, also Kategorisiert nach Themen. Z.B. Trojan Activity etc.
Auch die Anzahl der Regeln kann ich hier nicht sehen?
3.C
IP Reputation List Management unter IPList
Was ist es genau, bzw. wozu sollte ich es aktivieren. Oder steckt hier etwa eine "abuse.ch" Liste?
3. DNS
Ich habe bei Allgemein die DNS Server 1.1.1.1 eingtragen. Beim DHCP Server des LANs habe die DNS Zeile leer gelassen, weil drin steht, das dann
scheinbar die DNS Server des "Allgemeinen" übernommen werden. Das geht aber nicht, ich bekomme dann KEIN DNS. Nur wenn ich den 1.1.1.1 auch
hier eintrage geht es. Was mache ich da falsch?
So das sollte mal reichen für den Anfang
jetzt habe ich zu pfsense einige Fragen. Ich fang mal mit folgenden an.
1. kann ich bei pfsense bei der Firewall Regel Spamhaus DROP Regeln blocken. Ich hatte das bei opnsense als alias eingetragen.
"https://www.spamhaus.org/drop/edrop.txt " habe das hier auch so gemacht. Welche anderen URLs die kostenlos sind, würdet sind
noch zu Empfehlen.
2. DNS Blocking (DNSBL / pi-hole) mache ich dann bei pfsense über pfblocker. Unter dem TAB DNSBL in die Zeile DNSBL Virtual IP,
kommt dann welche IP rein. Kann ich da nicht die 127.0.0.1 nehmen, weil dahin sollten ja die DNS anfragen weitergeleitet werden?
3. Suricata
Es gibt dort nur 2 freie Regelwerke die man downloaden kann. Wenn man andere Listen unter dem TAB "Global settings"
wie z.b. "abuse.ch" eintragen will, geht das nicht?
3.B
Ich sehe hier aber nicht die Regeln, wie ich es bei opnsense sehe, also Kategorisiert nach Themen. Z.B. Trojan Activity etc.
Auch die Anzahl der Regeln kann ich hier nicht sehen?
3.C
IP Reputation List Management unter IPList
Was ist es genau, bzw. wozu sollte ich es aktivieren. Oder steckt hier etwa eine "abuse.ch" Liste?
3. DNS
Ich habe bei Allgemein die DNS Server 1.1.1.1 eingtragen. Beim DHCP Server des LANs habe die DNS Zeile leer gelassen, weil drin steht, das dann
scheinbar die DNS Server des "Allgemeinen" übernommen werden. Das geht aber nicht, ich bekomme dann KEIN DNS. Nur wenn ich den 1.1.1.1 auch
hier eintrage geht es. Was mache ich da falsch?
So das sollte mal reichen für den Anfang
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 520348
Url: https://administrator.de/contentid/520348
Printed on: April 27, 2024 at 04:04 o'clock
15 Comments
Latest comment
ad 3.)
Ist deine Firewall direkt im Internet mit einem nur Modem ?
Wenn ja dann musst du gar nichts eintragen, dann bekommst du den DNS Server per PPPoE oder DHCP automatisch gesendet.
Ist dein WAN Port statisch z.B. in einer Router_Kaskade dann musst du lediglich in System --> General Setup unter "DNS Server Settings" deine DNS Server IP eintragen. Bei einer Kaskade ist das in der Regel die IP des davor kaskadierten Routers der ja als DNS Proxy arbeitet. Alternativ die DNS IP deines Providers.
Wenn man unbedingt will die IP eines globalen Anbieters wie Quad9 DNS:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Mehr ist nicht zu tun.
Wenn die pfSense dann auch DHCP ist announced sie sich selber als Proxy DNS an die Endgeräte.
Unter Services ist dann der Resolver aktiviert und der Forwarder deaktiviert.
Ist deine Firewall direkt im Internet mit einem nur Modem ?
Wenn ja dann musst du gar nichts eintragen, dann bekommst du den DNS Server per PPPoE oder DHCP automatisch gesendet.
Ist dein WAN Port statisch z.B. in einer Router_Kaskade dann musst du lediglich in System --> General Setup unter "DNS Server Settings" deine DNS Server IP eintragen. Bei einer Kaskade ist das in der Regel die IP des davor kaskadierten Routers der ja als DNS Proxy arbeitet. Alternativ die DNS IP deines Providers.
Wenn man unbedingt will die IP eines globalen Anbieters wie Quad9 DNS:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Mehr ist nicht zu tun.
Wenn die pfSense dann auch DHCP ist announced sie sich selber als Proxy DNS an die Endgeräte.
Unter Services ist dann der Resolver aktiviert und der Forwarder deaktiviert.
Ist dein WAN Port statisch
Ja genau, und hinter einem Router. Also die Fritzbox IP eintragen. Gibt es da Probleme wenn ich öffentliche IPs nehme.
Kann jemand die anderen Fragen beantworten?
Ja genau, und hinter einem Router.
Mit anderen Worten: Du nutzt eine klassische Router Kaskade mit doppeltem NAT wie sie hier beschrieben ist:Kopplung von 2 Routern am DSL Port
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Dann darfst du im Koppelnetz niemals eine öffentliche IP verwenden ! Das ist so oder so immer Tabu für dich wenn diese IP Adressen nicht auf dich registriert sind.
Belasse es also bei der üblichen FritzBox Adressierung ,ot 192.168.178.0 /24 sofern du diese nicht verändert hast.
Sinn macht es natürlich den kaskadierten WAN Port der Firewall statisch einzutragen und diese IP dann als exposed Host in der FB einzutragen. Alternativ, da sicherer forwardest du nur die Protokolle die du zur Firewall durchreichen willst statt schrotschussmäßig alle wie bei der exposed Host Funktion !
Ja der WAN Port (..78.20) der Firewall ist statisch gesetzt also kein DHCP, und das Netz der FB (..78.1/24)ist natürlich auch statisch.
Wieso darf ich das nicht, kannst du das etwas genauer erläutern. Ich nehme dann also nur die (..78.1) als DNS Server.
Dann darfst du im Koppelnetz niemals eine öffentliche IP verwenden ! Das ist so oder so immer Tabu für dich wenn diese IP Adressen nicht auf dich registriert sind.
Wieso darf ich das nicht, kannst du das etwas genauer erläutern. Ich nehme dann also nur die (..78.1) als DNS Server.
Du darfst es schon wenn du offiziell zugeteilte öffentliche IP Adressen hast. Wenn nicht wäre das keine gute Idee, denn wie du ja als Netzwerker weisst müssen IPs einzigartig sein. Tauchen nicht registrierte öffentliche IPs mal im Internet auf wäre das keine gute Idee....
Ist so oder so auch sinnfrei, denn du hast ja doppeltes NAT. Also sollte man schon immer RFC 1918 IP Adressen in den Koppelnetzen verwenden bei einer Kaskade.
Und ja, die .178.1 (FB Adresse) ist dann dein DNS Server, das ist richtig.
Ist so oder so auch sinnfrei, denn du hast ja doppeltes NAT. Also sollte man schon immer RFC 1918 IP Adressen in den Koppelnetzen verwenden bei einer Kaskade.
Und ja, die .178.1 (FB Adresse) ist dann dein DNS Server, das ist richtig.
OK. dann haben wir mal die DNS Sache geklärt.
Weiß zu den anderen Punkten niemand was?
Weiß zu den anderen Punkten niemand was?
Wobei da habe ich noch fragen zu.. DNS..
Wenn ich bei den allgemeinen Einstellungen ( System / Allgemeine Einstellungen -> DNS-Server Einstellungen)
nun den DNS Server der FritzBox eintrage (192.168.178.1) dann kann man rechts daneben einen Gateway
(Ggf. das Gateway für jeden DNS-Server auswählen.) eintragen. Wenn ich hier das Gateway auswähle also die selbe IP wie der DNS Server,
dann erhalte ich eine Fehlermeldung beim speichern. Lasse ich die Auswahl auf ("nicht gesetzt") funktioniert es.
Will der nun den GW der Fritzbox wissen, der ist hier in der PFSense aber nicht eingetragen, oder soll man das leer lassen?
Wenn ich bei den allgemeinen Einstellungen ( System / Allgemeine Einstellungen -> DNS-Server Einstellungen)
nun den DNS Server der FritzBox eintrage (192.168.178.1) dann kann man rechts daneben einen Gateway
(Ggf. das Gateway für jeden DNS-Server auswählen.) eintragen. Wenn ich hier das Gateway auswähle also die selbe IP wie der DNS Server,
dann erhalte ich eine Fehlermeldung beim speichern. Lasse ich die Auswahl auf ("nicht gesetzt") funktioniert es.
Will der nun den GW der Fritzbox wissen, der ist hier in der PFSense aber nicht eingetragen, oder soll man das leer lassen?
Weiß zu den anderen Punkten niemand was?
Ja
ich habe mir PFBlocker angeschaut, genial das Teil, macht alles suaber zusammen IP Blocking und DNSBL, also um einiges besser als dsa rm pfuschen mit opnsense, sabil, übesichtlich, einfach zu installieren, top. GeoIP Blocking, Reputation alles dabei.
dann kann man rechts daneben einen Gateway (Ggf. das Gateway für jeden DNS-Server auswählen.) eintragen.
Das kannst du vergessen und sollte bei dir auf "none" stehen !Das ist nur dann relevant wenn du ein Dual WAN Szenario hast, sprich also 2 oder mehrere parallele Internet Anbindungen mit Load Balancing. Dann kann man dort für jeden DNS Server einen WAN Port mitgeben.
Der Eintrag ist also bei einer singulären WAN Anbindung wie bei dir nicht erforderlich. Also...leer lassen ! (None) Dann wird das normale Default Gateway genommen was ja auf den Internet Router zeigt.
ich habe mir PFBlocker angeschaut,
Ist das wirklich einfacher zu installieren als bei pfSense ?? Bei pfSense ist das ein Alptraum mit der Installation und arbeitet nicht immer stabil. Es ist dann viel sinnvoller sich einen Pi_Hole ins Netz zu hängen der das auch noch mit einem sauberen und übersichtlichen Web Management GUI erheblich besser kann. Allerdings mit dem Nachteil dann wieder eine separate Maschine zu haben... 
Ist das wirklich einfacher zu installieren als bei pfSense ?? Bei pfSense ist das ein Alptraum mit der Installation und arbeitet nicht immer stabil. Es ist dann viel sinnvoller sich einen Pi_Hole ins Netz zu hängen der das auch noch mit einem sauberen und übersichtlichen Web Management GUI erheblich besser kann. Allerdings mit dem Nachteil dann wieder eine separate Maschine zu haben...
Ich habe version 2.2.5_DEV installiert. Ist zwar noch eine DEV version aber ich hoffe es treten keine Probleme damit auf. Ja die normale Version ist dann doch so ähnlich wie mit opnsense, da gebe ich dir recht.Es ist dann viel sinnvoller sich einen Pi_Hole ins Netz zu hängen der das auch noch mit einem sauberen und übersichtlichen Web Management GUI erheblich besser kann. Allerdings mit dem Nachteil dann wieder eine separate Maschine zu haben...
Das wäre auch sinnvoll, aber wenn es nun mit der dev Version sabil läuft ist es ok, ansonsten werde ich wohl auch die rasperry variante nutzen.
Ich habe version 2.2.5_DEV installiert.
Die ist ja uralt !! Aktuell ist bei den x86 Images 2.3.5p3 und bei den amd64 2.4.4.Oder ist das jetzt eine OpenSense Versionsnummer ?
Zitat von @aqui:
Oder ist das jetzt eine OpenSense Versionsnummer ?
Ich habe version 2.2.5_DEV installiert.
Die ist ja uralt !! Aktuell ist bei den x86 Images 2.3.5p3 und bei den amd64 2.4.4.Oder ist das jetzt eine OpenSense Versionsnummer ?
hä, ich meine nicht pfsene
sondernpfBlockerNG-devel - 2.2.5_27
Aaahhhhsooo !
Dann passt es wieder.
Das zu konfigurieren ist aber ein wahrer Alptraum. Der PiHole ist dagegen ein Kinderspiel.
Dann passt es wieder.
Das zu konfigurieren ist aber ein wahrer Alptraum. Der PiHole ist dagegen ein Kinderspiel.
Da hast du bestimmt recht, es sind sehr viele Sachen zu konf. dabei.
Was muss ich den in der pfsense alles eintragen, Regeln etc. damit alle DNS Anfragen über PiHole laufen?
Evtl. ein Link etc.
Was muss ich den in der pfsense alles eintragen, Regeln etc. damit alle DNS Anfragen über PiHole laufen?
Evtl. ein Link etc.
Wenn du einen PiHole verwendest musst du an der Firewall rein gar nichts eintragen !
Nur der DHCP Server darf dann nicht mehr die FW als DNS Adresse rausgeben sondern die PiHole IP ! Logisch, denn alle DNS Requests laufen dann über den PiHole.
Mehr ist nicht zu tun.
Ein Zero W kostet popelige 10 Euro:
https://buyzero.de/products/raspberry-pi-zero-w?variant=38399156114
Alternativ ein Orange Pi Zero:
https://www.ebay.de/itm/Orange-Pi-Zero-Zero-NAS-512MB-H2-WiFi-SBC-Expans ...
512 MB Version und ABS Gehäuse.
Damit lohnt sich doch ein eigener Versuch ! Ein Bild (und eigener Eindruck) sagt mehr als 1000 Worte...!
Raspberry Pi Zero W als Pi-hole Adblocker
Nur der DHCP Server darf dann nicht mehr die FW als DNS Adresse rausgeben sondern die PiHole IP ! Logisch, denn alle DNS Requests laufen dann über den PiHole.
Mehr ist nicht zu tun.
Ein Zero W kostet popelige 10 Euro:
https://buyzero.de/products/raspberry-pi-zero-w?variant=38399156114
Alternativ ein Orange Pi Zero:
https://www.ebay.de/itm/Orange-Pi-Zero-Zero-NAS-512MB-H2-WiFi-SBC-Expans ...
512 MB Version und ABS Gehäuse.
Damit lohnt sich doch ein eigener Versuch ! Ein Bild (und eigener Eindruck) sagt mehr als 1000 Worte...!
Raspberry Pi Zero W als Pi-hole Adblocker