Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense 2.1.5 Squid3, Squidguard und Snort

    Deutsch
    2
    5
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      funroli
      last edited by

      Hallo Freunde,

      Erstmal Danke für das tolle Board hier.
      Ich bin ein wenig dabei mich mit PFsense zu beschäftigen. Daher habe ich mir die Version 2.1.5 auf einem Testserver installiert.

      Erstmal das Standart Full image eingespielt, und Standart config gemacht.
      Pfsense tut nun eigentlich alles was es soll. Da gibt es nur ein Problem, und das hängt mit Snort (IDP) zusammen.
      Vielleicht kann mir von Euch das jemand erklären.

      Folgende packages sind installiert und Konfiguriert und funktionieren auch:
      Squid3         3.1.20 pkg 2.1.1
      Squidguard3  1.4_4 pkg v.1.9.5

      Snort macht Probleme:
      Snort 2.9.6.2 pkg v3.1.2

      Wenn ich von einem x-beliebigen Clienten im LAN nach aussen eine Webseite aufrufe funktioniert es das erste mal immer, sobald man aber auf links oder anderes klickt,
      gibt Squid folgende Fehlermeldung aus:

      Error The requested URL could not be retrieved. Der folgende Fehler wurde beim Versuch die URL xxxx zu holen festgestellt:
      Verbindung zu xxxx Fehlgeschlagen.  Das System antwortete: (1) Operation not permitted

      Der Zielhost oder das Zielnetzwerk ist momentan nicht verfügbar. Bitte wiederholen sie die Anfrage.

      Danach sehe ich jeweils im Snort unter Blocked Einträge nach; lösche ich diese funktionert die Seite auch Plötzlich wieder.
      Darunter fallen auch normale Seite wie zb. Google, Amazon, 20min.ch etc..

      Die Snort Blocked`s  heissen dann zb.
      (http_inspect) DOUBLE DECODING ATTACK
      (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE -
      http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE -

      Jedesmal beim Besuch einer Webseite händisch entfernen zu müssen kanns ja nicht sein. Vielleicht habe ich auch da ein völliger Denkfehler drin.

      Nun kann mir das jemand Bitte erklären, damit ich es verstehe und ändern kann.
      Snort ist ja eigendlich eine Einbruchs Detection oder?

      grüsse
      funroli

      1 Reply Last reply Reply Quote 0
      • D
        dimkyson
        last edited by

        Was hast du in deinen Alert Settings in Snort stehen?

        Block Offenders [ x ] ??
        Which IP to Block [ both ] ??

        Wenn du willst das "incoming traffic" geblockt wird solltest du "src" auswählen… Es kann natürlich auch sein das du "in & out" blocken willst (zb. SPAMBOTS aus dem internen Netz) dann sollte dort "both" stehen..

        Sollte das ein Fehlalarm sein kannst du "suppress lists" anfertigen und fehlerhafte Regeln somit deaktivieren.. Dazu klickst du unter Alerts auf das kleine Plus am Alarm..

        1 Reply Last reply Reply Quote 0
        • F
          funroli
          last edited by

          Hi dimkyson,

          Das ging Ja Schnell, Danke für deine Schnelle Antwort.

          Block Offerders ist Aktiv
          Which IP to Block steht bei mir auf both Ja

          Da es Alarme bei jeder Seite die ich öffne sind wundert mich das halt einfach ein wenig.
          Was bedeutet den nun die genannten Alarme und Warum?

          Da man ein SPAMBOT durch Applikationen im eigenen Lan nie ganz auschliessen kann wäre ja both eigenlich die richtige wahl oder?
          Wie kann ich mit PFsense Prüfen ob Applikationen sich als SPAMBOT verhalten? (Respektive herausfinden ob ungewollter Traffic rausgesendet wird)

          grüsse
          funroli

          1 Reply Last reply Reply Quote 0
          • D
            dimkyson
            last edited by

            Prüf mal ob du diese "Fehlermeldungen" von allen bzw. vielen Clients bekommst. Wenn ja würde ich fast sagen das es FalsePositiv Meldungen sind und du diese in die Suppress Liste packen kannst.

            Was der Alarm im einzelnen bedeutet kann ich dir nicht sagen.

            Wieviele Regeln hast du im Regelwerk aktiviert? Ich hoffe nicht alle :D

            Hier ein Tutorial / Anleitung für Anfänger… https://forum.pfsense.org/index.php?topic=61018.0

            1 Reply Last reply Reply Quote 0
            • F
              funroli
              last edited by

              @Dimkson

              Doch so ziemlich alle aus den Community Rules.
              Ich habe es entsprechend dieser Anleitung gemacht http://www.youtube.com/watch?v=8c1LRpWhL0I

              Alarme kommen auch bei anderen Clients.
              Danke für Dein Tutorial, leider in english.

              grüsse funroli

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.