pfsense Eigenleben entdeckt für Reihenfolge der Rules

krischeu

Hi,
ich habe in den Rules folgenden Eintrag gemacht. Nach einer Weile ist die Rule nach unten gewandert. Fast nach ganz unten. Nur ich habe Zugriff auf die Firwall. Und ich habe das nicht geändert. Wenn ich die Änderung gemacht habe, geht auch der alte eMailserver nicht mehr nach extern. Dann nach ca. 1 Stunde geht die Rule nach unten und der eMailserver funktioniert wieder, was blöd ist.

Kennt jemand das Phänomen?

Grimson

Simples PEBCAK. Wenn du pfBlockerNG mit automatischen Regeln benutzt musst du die "Firewall 'Auto' Rule Order" schon passend einstellen. Alternativ und in den meisten Fällen ist es aber besser nur Aliase erstellen zu lassen und die Regeln selber festzulegen. Auch hier hilft RTFM, achte auf die blauen Info-Zeichen bei pfBlockerNG.

krischeu

@Grimson
HM,
das mit den pfBlockerNG hat mir alles der gute JeGr eingestellt.

Wo stelle ich denn das "passend" ein?

JeGr

Das sind aber nicht die Settings die da eine Rolle spielen. Da musst du schon die IP Listen selbst anschauen. Und ich kann mich nicht entsinnen, dass ich das auf "automatisch" gestellt hätte, denn wir installieren die pfBlocker Regeln eigentlich immer als Aliase und erstellen damit dann eigene Regeln aus genau dem Grund, den @Grimson schon richtig anführt.

Was ist denn unter "IP" im Tab eingerichtet? Welche IP Listen sind da definiert? Wäre auch möglich, dass das schon so lange her ist, dass es die Optionen der aktuellen Version noch nicht gab/gibt? :)

Allerdings verstehe ich das Problem nicht, wenn deine Auto Blocker Regel greift, warum geht dann dein alter Mailserver wieder? Ist in der Whitelist "alles" konfiguriert? Oder was wird da erlaubt? Sollte sich an der Stelle nicht beißen wenn es sinnvoll konfiguriert ist?

krischeu

Hi Jens,
mit dem pfblogerdings habe ich nie nix geändert.

JeGr

Das wäre merkwürdig, denn die Whitelist habe ich zumindest nirgends und wissentlich nie konfiguriert. Würde für mich auch keinen Sinn machen, zumal die wohl auch nirgends her geladen oder abgeglichen wird. Was ist denn in diesem Alias überhaupt konfiguriert?

krischeu

@JeGr
In der Whitelist ist nur ein Eintrag drin.

JeGr

Wie gesagt, macht für mich keinen Sinn solch einen Alias in pfBlocker anzulegen statt als normales Alias wenn es dabei nicht mal von irgendeiner Quelle gelesen und ausgeführt wird. Hat da IMHO nichts zu suchen und würde ich entsorgen und anders einrichten wenn die IP gebraucht wird. An den beiden Blocks sieht man auch, dass ich/wir das immer als Alias einrichten, daher glaube ich nicht, dass der Whitelist Eintrag von uns kommt. :)

Grüße

krischeu

Die Whitelist gibt es für IP-Adressen, die pfsense blockt, aber ok sind.

krischeu

Die Frage ist aber doch eigentlich nicht die Sinnhaftigkeit der Whitelistregel, sondern die Einstellung wo man das Abschaltet, daß die Rules in der Reihenfolge geändert werden (automatisch) abschaltet, wenn der cron die Regeln für firehole_l2 und firehole_l3 updated.

JeGr

Nochmal: Die Logik ist mir klar, die Liste ist aber Unsinn - weshalb ich weiß, dass ich die nie angelegt habe. Es steht nur eine einzige IP in der Liste drin. Es wird keine externe IP Liste abgeholt, das Alias wird nicht aktualisiert etc. Das macht überhaupt keinen Sinn, solch eine "Liste" (die keine ist) überhaupt in pfBlocker zu haben oder zu verwalten. Deshalb die Aussage, dass die da raus gehört.

Die Frage ist aber doch eigentlich nicht die Sinnhaftigkeit der Whitelistregel

Doch, denn a) hab ich die nicht eingerichtet (aus genau dem Grund) und b) ist diese Regel wegen der Einstellung "Permit Outbound" der Grund, warum sich alle Stunde (pfBNG Updateintervall) die Regeln "verstellen", weil dann die von @Grimson zitierte Richtlinie greift (Anordnung der Regeln im Filter).

sondern die Einstellung wo man das Abschaltet, daß die Rules in der Reihenfolge geändert werden (automatisch) abschaltet

gar nicht, wenn bei einer Regel "Permit xy" oder "Deny xy" ausgewählt ist, wird automatisch das gemacht, was in den General Settings eingestellt ist, also pfB Regeln bspw. ganz nach oben/unten etc.

wenn der cron die Regeln für firehole_l2 und firehole_l3 updated.

Tut er nicht, der Cron lässt alles updaten nach entsprechenden Regularien und wendet dann ebenso für alle Listen seine Regeln an.

Darum nochmals: die IP Whitelist macht da keinen Sinn, denn es ist keine Liste mit nur einem einzigen Custom Eintrag.
Daher: Lösche diesen IPv4 Listeneintrag. Erstelle dir ein sinnvolles Alias mit dieser IP (keine Ahnung was die IP macht oder weshalb sie freigeschaltet ist) und erstelle eine ganz normale Regel damit und positioniere die so wie sie sein soll. Da die Firehol Listen bereits auf "Alias Deny" stehen wird hier keine automatische Regel angelegt und dementsprechend auch nichts verschoben. Lediglich diese komische nicht-Whitelist macht hier deine Probleme :)

Gruß

krischeu

Hm,
ok. Dann lösche ich das. Warum die bestehende Liste wieder zurück gesetzt wird/überschrieben wird, habe ich zwar nicht verstanden, macht aber nix.
Grüße
Heinz

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

ok. Dann lösche ich das. Warum die bestehende Liste wieder zurück gesetzt wird/überschrieben wird, habe ich zwar nicht verstanden, macht aber nix.

Das hatte ich doch oben erklärt: Es ist egal welche Liste aktualisiert wird. Jedes Alias/Listeneintrag von pfBlocker wird alle Stunde aktualisiert nach den Richtlinien, die konfiguriert sind. Bei der Whitelist stand zwar, dass sie nicht aktualisiert wird, das ändert aber nichts dran, dass pfBlocker danach durchgeht, wie welche Liste als Regel umgewandelt werden soll. Bei der Whitelist stand da ein "PermitAllow", womit pfBNG dann die Regel aktualisiert und damit wieder nach oben schiebt.

krischeu

Hi,
ich hab die Whitelist gelöscht. Das Eigenleben ist wieder weg.
Jetzt gibt es nur noch folgenden Fehler:

Unresolvable destination alias 'pfB_IPv4Whitelist' for rule 'pfB_IPv4Whitelist auto rule' @ 2019-03-29 05:32:26

Wie bekomme ich das noch weg?

Grüße
Heinz

JeGr

Wie oben mehrfach beschrieben ;)

Lege dir ein eigenes Alias an mit der IP, von der wir immer noch nicht wissen, was sie eigentlich tut/soll und ändere das Alias in der Regel die angemängelt wird.

krischeu

@JeGr
Wo finde ich denn die Regel die angemängelt wird?

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

Unresolvable destination alias 'pfB_IPv4Whitelist' for rule 'pfB_IPv4Whitelist auto rule' @ 2019-03-29 05:32:26

Es wird ein ALIAS angemängelt, keine Regel: pfB_IPv4Whitelist
Ansonsten hattest du die Regel sogar oben auf deinem Screenshot auf dem "INTERN" Interface gezeigt, genau mit der angemängelten Description 'pfB_IPv4Whitelist auto rule'

krischeu

Auf dem Dashboard gibt es noch die Regel mit der Whitelist.
Ich finde das aber nirgens. Einen Alias hab ich mittlerweile angelegt.
Kann ich das auf dem Dashboard irgendwo löschen( pfB_IPv4Whitelist)

Unter Firewall/pfblockerNG/IPv4 gibt es nur 2 Rules.

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

Einen Alias hab ich mittlerweile angelegt.

Und der Alias heißt zufällig genauso wie im Bild? Das Widget zeigt alle Aliase die mit pfB_ Prefix angelegt sind, weil das im Normalfall alles Aliase sind die pfB(locker) anlegt! Also einfach das Alias anders benennen.

krischeu

Achso,
der baut sich das automatisch zusammen. Cool.

Umbenennen wäre uncool, dann meckert pfSense rum, daß kein Alias angelegt ist mit dem Namen.