• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Pfsense 2.1.5 Squid3, Squidguard und Snort

Scheduled Pinned Locked Moved Deutsch
5 Posts 2 Posters 1.2k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • F
    funroli
    last edited by Oct 7, 2014, 8:52 AM Oct 7, 2014, 8:27 AM

    Hallo Freunde,

    Erstmal Danke für das tolle Board hier.
    Ich bin ein wenig dabei mich mit PFsense zu beschäftigen. Daher habe ich mir die Version 2.1.5 auf einem Testserver installiert.

    Erstmal das Standart Full image eingespielt, und Standart config gemacht.
    Pfsense tut nun eigentlich alles was es soll. Da gibt es nur ein Problem, und das hängt mit Snort (IDP) zusammen.
    Vielleicht kann mir von Euch das jemand erklären.

    Folgende packages sind installiert und Konfiguriert und funktionieren auch:
    Squid3         3.1.20 pkg 2.1.1
    Squidguard3  1.4_4 pkg v.1.9.5

    Snort macht Probleme:
    Snort 2.9.6.2 pkg v3.1.2

    Wenn ich von einem x-beliebigen Clienten im LAN nach aussen eine Webseite aufrufe funktioniert es das erste mal immer, sobald man aber auf links oder anderes klickt,
    gibt Squid folgende Fehlermeldung aus:

    Error The requested URL could not be retrieved. Der folgende Fehler wurde beim Versuch die URL xxxx zu holen festgestellt:
    Verbindung zu xxxx Fehlgeschlagen.  Das System antwortete: (1) Operation not permitted

    Der Zielhost oder das Zielnetzwerk ist momentan nicht verfügbar. Bitte wiederholen sie die Anfrage.

    Danach sehe ich jeweils im Snort unter Blocked Einträge nach; lösche ich diese funktionert die Seite auch Plötzlich wieder.
    Darunter fallen auch normale Seite wie zb. Google, Amazon, 20min.ch etc..

    Die Snort Blocked`s  heissen dann zb.
    (http_inspect) DOUBLE DECODING ATTACK
    (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE -
    http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE -

    Jedesmal beim Besuch einer Webseite händisch entfernen zu müssen kanns ja nicht sein. Vielleicht habe ich auch da ein völliger Denkfehler drin.

    Nun kann mir das jemand Bitte erklären, damit ich es verstehe und ändern kann.
    Snort ist ja eigendlich eine Einbruchs Detection oder?

    grüsse
    funroli

    1 Reply Last reply Reply Quote 0
    • D
      dimkyson
      last edited by Oct 7, 2014, 1:56 PM

      Was hast du in deinen Alert Settings in Snort stehen?

      Block Offenders [ x ] ??
      Which IP to Block [ both ] ??

      Wenn du willst das "incoming traffic" geblockt wird solltest du "src" auswählen… Es kann natürlich auch sein das du "in & out" blocken willst (zb. SPAMBOTS aus dem internen Netz) dann sollte dort "both" stehen..

      Sollte das ein Fehlalarm sein kannst du "suppress lists" anfertigen und fehlerhafte Regeln somit deaktivieren.. Dazu klickst du unter Alerts auf das kleine Plus am Alarm..

      1 Reply Last reply Reply Quote 0
      • F
        funroli
        last edited by Oct 7, 2014, 2:12 PM

        Hi dimkyson,

        Das ging Ja Schnell, Danke für deine Schnelle Antwort.

        Block Offerders ist Aktiv
        Which IP to Block steht bei mir auf both Ja

        Da es Alarme bei jeder Seite die ich öffne sind wundert mich das halt einfach ein wenig.
        Was bedeutet den nun die genannten Alarme und Warum?

        Da man ein SPAMBOT durch Applikationen im eigenen Lan nie ganz auschliessen kann wäre ja both eigenlich die richtige wahl oder?
        Wie kann ich mit PFsense Prüfen ob Applikationen sich als SPAMBOT verhalten? (Respektive herausfinden ob ungewollter Traffic rausgesendet wird)

        grüsse
        funroli

        1 Reply Last reply Reply Quote 0
        • D
          dimkyson
          last edited by Oct 7, 2014, 2:27 PM

          Prüf mal ob du diese "Fehlermeldungen" von allen bzw. vielen Clients bekommst. Wenn ja würde ich fast sagen das es FalsePositiv Meldungen sind und du diese in die Suppress Liste packen kannst.

          Was der Alarm im einzelnen bedeutet kann ich dir nicht sagen.

          Wieviele Regeln hast du im Regelwerk aktiviert? Ich hoffe nicht alle :D

          Hier ein Tutorial / Anleitung für Anfänger… https://forum.pfsense.org/index.php?topic=61018.0

          1 Reply Last reply Reply Quote 0
          • F
            funroli
            last edited by Oct 8, 2014, 1:14 PM

            @Dimkson

            Doch so ziemlich alle aus den Community Rules.
            Ich habe es entsprechend dieser Anleitung gemacht http://www.youtube.com/watch?v=8c1LRpWhL0I

            Alarme kommen auch bei anderen Clients.
            Danke für Dein Tutorial, leider in english.

            grüsse funroli

            1 Reply Last reply Reply Quote 0
            5 out of 5
            • First post
              5/5
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
              This community forum collects and processes your personal information.
              consent.not_received