pfsense Eigenleben entdeckt für Reihenfolge der Rules

JeGr

Nochmal: Die Logik ist mir klar, die Liste ist aber Unsinn - weshalb ich weiß, dass ich die nie angelegt habe. Es steht nur eine einzige IP in der Liste drin. Es wird keine externe IP Liste abgeholt, das Alias wird nicht aktualisiert etc. Das macht überhaupt keinen Sinn, solch eine "Liste" (die keine ist) überhaupt in pfBlocker zu haben oder zu verwalten. Deshalb die Aussage, dass die da raus gehört.

Die Frage ist aber doch eigentlich nicht die Sinnhaftigkeit der Whitelistregel

Doch, denn a) hab ich die nicht eingerichtet (aus genau dem Grund) und b) ist diese Regel wegen der Einstellung "Permit Outbound" der Grund, warum sich alle Stunde (pfBNG Updateintervall) die Regeln "verstellen", weil dann die von @Grimson zitierte Richtlinie greift (Anordnung der Regeln im Filter).

sondern die Einstellung wo man das Abschaltet, daß die Rules in der Reihenfolge geändert werden (automatisch) abschaltet

gar nicht, wenn bei einer Regel "Permit xy" oder "Deny xy" ausgewählt ist, wird automatisch das gemacht, was in den General Settings eingestellt ist, also pfB Regeln bspw. ganz nach oben/unten etc.

wenn der cron die Regeln für firehole_l2 und firehole_l3 updated.

Tut er nicht, der Cron lässt alles updaten nach entsprechenden Regularien und wendet dann ebenso für alle Listen seine Regeln an.

Darum nochmals: die IP Whitelist macht da keinen Sinn, denn es ist keine Liste mit nur einem einzigen Custom Eintrag.
Daher: Lösche diesen IPv4 Listeneintrag. Erstelle dir ein sinnvolles Alias mit dieser IP (keine Ahnung was die IP macht oder weshalb sie freigeschaltet ist) und erstelle eine ganz normale Regel damit und positioniere die so wie sie sein soll. Da die Firehol Listen bereits auf "Alias Deny" stehen wird hier keine automatische Regel angelegt und dementsprechend auch nichts verschoben. Lediglich diese komische nicht-Whitelist macht hier deine Probleme :)

Gruß

krischeu

Hm,
ok. Dann lösche ich das. Warum die bestehende Liste wieder zurück gesetzt wird/überschrieben wird, habe ich zwar nicht verstanden, macht aber nix.
Grüße
Heinz

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

ok. Dann lösche ich das. Warum die bestehende Liste wieder zurück gesetzt wird/überschrieben wird, habe ich zwar nicht verstanden, macht aber nix.

Das hatte ich doch oben erklärt: Es ist egal welche Liste aktualisiert wird. Jedes Alias/Listeneintrag von pfBlocker wird alle Stunde aktualisiert nach den Richtlinien, die konfiguriert sind. Bei der Whitelist stand zwar, dass sie nicht aktualisiert wird, das ändert aber nichts dran, dass pfBlocker danach durchgeht, wie welche Liste als Regel umgewandelt werden soll. Bei der Whitelist stand da ein "PermitAllow", womit pfBNG dann die Regel aktualisiert und damit wieder nach oben schiebt.

krischeu

Hi,
ich hab die Whitelist gelöscht. Das Eigenleben ist wieder weg.
Jetzt gibt es nur noch folgenden Fehler:

Unresolvable destination alias 'pfB_IPv4Whitelist' for rule 'pfB_IPv4Whitelist auto rule' @ 2019-03-29 05:32:26

Wie bekomme ich das noch weg?

Grüße
Heinz

JeGr

Wie oben mehrfach beschrieben ;)

Lege dir ein eigenes Alias an mit der IP, von der wir immer noch nicht wissen, was sie eigentlich tut/soll und ändere das Alias in der Regel die angemängelt wird.

krischeu

@JeGr
Wo finde ich denn die Regel die angemängelt wird?

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

Unresolvable destination alias 'pfB_IPv4Whitelist' for rule 'pfB_IPv4Whitelist auto rule' @ 2019-03-29 05:32:26

Es wird ein ALIAS angemängelt, keine Regel: pfB_IPv4Whitelist
Ansonsten hattest du die Regel sogar oben auf deinem Screenshot auf dem "INTERN" Interface gezeigt, genau mit der angemängelten Description 'pfB_IPv4Whitelist auto rule'

krischeu

Auf dem Dashboard gibt es noch die Regel mit der Whitelist.
Ich finde das aber nirgens. Einen Alias hab ich mittlerweile angelegt.
Kann ich das auf dem Dashboard irgendwo löschen( pfB_IPv4Whitelist)

Unter Firewall/pfblockerNG/IPv4 gibt es nur 2 Rules.

JeGr

@krischeu said in pfsense Eigenleben entdeckt für Reihenfolge der Rules:

Einen Alias hab ich mittlerweile angelegt.

Und der Alias heißt zufällig genauso wie im Bild? Das Widget zeigt alle Aliase die mit pfB_ Prefix angelegt sind, weil das im Normalfall alles Aliase sind die pfB(locker) anlegt! Also einfach das Alias anders benennen.

krischeu

Achso,
der baut sich das automatisch zusammen. Cool.

Umbenennen wäre uncool, dann meckert pfSense rum, daß kein Alias angelegt ist mit dem Namen.

JeGr

Nein. Aliase umbenennen ist eine KERNfunktion die schon seit etlichen Releases zuverlässig funktioniert. Der Eintrag in den entsprechenden Regeln wird ebenfalls automatisch korrigiert!