[BUG] Bei IP Table Eintrag sperrt Pfsense sämtlichen Internettraffic vom Lan->WA
-
WOW, danke für deine Mühen!
Ja dann ist ja jetzt alles genaustens analysiert :)
Ja ich hatte auch zuerst meine Regeln deaktiviert. Selbst das hilft nichts. Man muss die Regeln komplett löschen.
Die Liste von wo anders laden, habe ich nicht probiert - werde ich aber heute nach der Arbeit mal testen.Danke dir nochmal - und vielleicht ließt ja hier ein Entwickler mit :)
-
Die Sache möchte ich noch mit einer anderen, eigenen Liste testen. Wenn da das Verhalten gleich ist und auch alle Tabellen weg sind, ist sie reif für einen Bug-Report.
-
@virago Wenn ich dich richtig verstanden habe, geht es aber mit einer Liste, die nur v4 Adressen enthält aber korrekt? Ist dann das Problem nicht wirklich nur darin begründet, dass in der whatsapp Liste eben noch v6 Adressen enthalten sind? Oder habe ich was an deinem Test übersehen?
-
@virago Wenn ich dich richtig verstanden habe, geht es aber mit einer Liste, die nur v4 Adressen enthält aber korrekt? Ist dann das Problem nicht wirklich nur darin begründet, dass in der whatsapp Liste eben noch v6 Adressen enthalten sind? Oder habe ich was an deinem Test übersehen?
Ich gehe davon aus das er auch die Liste mit den IPV6 Adressen (also orginal) auf den Webserver geladen hat und die Liste dann trotzdem laden konnte :)
- So oder so, sollte eine Funktion die übers Gui benutzt werden kann nicht so so einen Fehler führen dürfen. Pfsense sollte die Tabelle dann überspringen oder so.
-
Meine Aussage war vorhin, dass die Liste, wenn vom whatsapp Server geladen und in einer Regel angewandt, die pfSense blockiert.
Wenn ich die Liste hingegen auf meinem Webserver stelle, wird sie problemlos geladen.Meine Annahme war, dass die pfSense ein Problem damit hat, weil der Host, von welchem sie geladen werden soll, selbst in der Liste steht.
Um hier den Gegentest anzutreten, habe ich nun das Netz meines Webservers zur Liste hinzugefügt. Laut meiner Annahme müsste die Sense ja dann auch crashen. Tut sie aber nicht.
Die IPv6 Einträge sind nach wie vor in der Tabelle und werden auch in der pfSense GUI Diagnostic > Tables angezeigt, ebenso das Netz meines Webservers.
So, nun habe ich überhaupt keinen Dunst, woran das liegen kann.Die Verwendung des Alias in einer Firewall-Regel ist übrigens gar nicht nötig, um die Tabelle zu laden. Das tut aber auch nichts zur Sache.
Ich habe die Liste mit dem Webbrowser vom whatsapp Server auf meinen Webserver runtergezogen, dann ebenso mit wget, um sicherzugehen, dass der Browser nicht etwas am Datenformat ändert - das macht keinen Unterschied - funktioniert immer problemlos.
Ich habe auch den unverschlüsselten URL vom whatsapp Server in der pfSense verwendet, um etwaige TLS Inkompatibilitäten auszuschließen - gleicher Effekt, die pfSense blockiert.
Auf meinem Webserver greife ich zudem auch verschlüsselt zu.Jetzt bin ich mit meiner Weisheit absolut am Ende und komme zu dem wagen Schluss, die Liste bring die pfSnense zum Crashen, wenn sie vom whatsapp Server gezogen wird, funktioniert aber von sie von einem anderen Server gezogen wird. Warum auch immer. >:(
Dummerweise ist auch im System-Log nichts von dem Problem zu finden. -
Was passiert denn, wenn man eine Liste anlegt die es gar nicht gibt?
Also einfach eine URL einträgt. Gar nichts? -
Wenn es die von vornherein schon nicht gibt, beschwert sich pfSense beim Anlegen des Alias und er lässt sich nicht speichern. Wenn der Link danach beim Neustart oder Reload tot ist, passiert gar nichts.
-
Meine Annahme war, dass die pfSense ein Problem damit hat, weil der Host, von welchem sie geladen werden soll, selbst in der Liste steht.
Ah sorry das hatte ich verpasst.
OK wirklich merkwürdig… evtl. nächste Woche im Urlaub mal debuggen :) -
Meine Annahme war, dass die pfSense ein Problem damit hat, weil der Host, von welchem sie geladen werden soll, selbst in der Liste steht.
Ah sorry das hatte ich verpasst.
OK wirklich merkwürdig… evtl. nächste Woche im Urlaub mal debuggen :)Was rausgefunden :)?
-
Hi,
2.2.5 brachte hier auch keine Änderung.Ich sehe 2 Möglichkeiten, diese Liste dennoch auf pfSense zu nutzen:
-
Über pfBlockerNG.
Da kannst du am IPv4 bzw. IPv6 Tab IP-Listen angeben und wie bei allen anderen pfBlockerNG Filter diese eingangs-, ausgangs- oder beidseitig sperren oder erlauben, oder einfach nur einen Alias anlegen lassen, den du dann in eigenen Firewall-Regeln verwenden kannst. -
Die Liste mit wget od. dgl. auf einen anderen Webserver synchronisieren und diese von da mithilfe eines Aliases laden.
Mit etwas Scriptinggeschick in BSD sollte man sie auch direkt auf die pfSense ziehen können.
Also, warum nicht einen anderen Weg nehmen, wenn der eine blockiert ist.
-
-
Danke. Hab es jetzt mal mit pfBlockerNG versucht. Mal sehen ob es klappt :)
