Ausgehende Verbindung blockieren wenn Limit pro Zeiteinheit überschritten

sandfurz

Hallo zusammen,
ist es möglich, mit der pfsense den ausgehenden Datenverkehr zu blockieren, sofern dieser eine bestimmte Größe in einer bestimmten Zeit (z.B. 10MB/min) überschreitet?

Hintergrund ist, dass ich eine pfsense für eine spezielle Anwendung einsetze, die nur sehr wenig (im Byte bis KB Bereich) Upload-Traffic verursacht. Eingehend können Updates kommen.
Sofern nun der ausgehende Datenverkehr eklatant ansteigt, ist von einem ungewollten Datenabfluss auszugehen.
In den Regeln der Firewall habe ich bis auf zwei von der Anwendung genutzte Domains sowie den DNS alles geblockt.

Meine Recherchen im Netz waren leider -vermutlich mangels passender Suchwörter- nicht erfolgreich.

JeGr

@sandfurz Das klingt eher nach Monitoring als Firewall Problem. Da die Firewall selbst den Traffic nicht über Zeit misst - kann sie (aktuell) nicht - kannst du hieraus kein Event ableiten, nach dem sich filtern lassen kann. Das wäre auch out of scope für den Paketfilter. Denkbar wäre so eine Funktion eher in einer neueren Art IDS/IPS das auf Ereignissen basiert statt auf stumpfen Entities wie es aktuell Snort/Surricata tun.

Aktuell lässt sich das aber in der Firewall selbst ohne Hilfe von außen nicht erledigen. Man müsste hier eher den Traffic überwachen durch Monitoring und dort definieren, dass alles was > X an Bandbreite über Zeit Y ist ein Problem darstellt. Dann könnte man den Ball wieder an die Firewall zurückspielen und sagen "aktiviere Regel X" oder "Blocke IP Y".

Cheers