Fehler: sonewconn
-
Hört sich fast so an, als ob da die Verbindungen zum Dummy Webserver für die "Stop" Seite offen geblieben sind. IMHO würde ich selbst aber eher umleiten auf 0.0.0.0 statt auf eine IP und dann eine Seite anzeigen, da das bei HTTPS eh schon in die Hose geht - außer du bist in einem kleinen Netz oder kannst Firmenweit deine eigene CA ausrollen. TLS aufbrechen ist aber eh schon eine miese Nummer und bevor sich die Leute dann beschweren weil bei https://bad-domain.tld dann eine SSL Warnung kommt bevor dann die Stopseite kommt leite ich die lieber auf 0.0.0.0 -> was von DNS als sofortiger Error/unauflösbar quittiert wird und somit auch keine Timeouts oder Nachladezeiten verursacht :)
-
OK. Wie leite ich auf 0.0.0.0 um?
-
Zu früh gefreut! Trotz neuer pfBlockNG Version ist der Fehler wieder da.
tcp4 193/0/128 *.8443
tcp4 46/0/128 *.8081Gruß,
Thomas -
Wenn ich als virtuelle IP-Adresse 0.0.0.0 stat 10.10.10.1 einstelle, startet DNSBL nicht mehr. Das funktioniert nicht.
Irgendeine Idee wie ich den Fehler wegbekomme?
Gruß
Thomas -
Dann hast du mich mißverstanden. Ich meine nicht die VIP auf 10.10.10.1 zu setzen, das bringt nichts, denn die ist nur dazu da, den Webserver dran zu binden und diese Error Seite auszuliefern. Ich rede davon gar nicht erst die Fehlerseite auszuliefern bzw. den Webkram ganz abzuschalten und als DNS Antwort 0.0.0.0 zu liefern, nicht den Webserver auf 0.0.0.0 zu binden :)
Um eine Domain zu blackholen musst du im entsprechenden Listeneintrag beim DNSBL unter dem Abschnitt "Settings" das Logging auf "disabled" setzen (dort steht auch die Erklärung, dass disabled die Adresse auf "0.0.0.0" setzt statt auf die VIP).
Dann gibt es natürlich keine Log Hits mehr auf der Firewall weil der Client dann direkt schon die Anfrage einstellt statt eine Verbindung mit der Firewall aufzubauen. -
Danke für Antwort! Ich finde die Einstellung nicht - sorry!
Ich kann unter "Firewall / pfBlockerNG / DNSBL im Abschnitt DNSBL IPs Logging ausschalten - da steht aber die angeführte Erklärung nicht!
-
Ah Okay, du schaust an der falschen Stelle. Gehe in den Reiter DNSBL Feeds -> Dort gibts als letzte Spalte "Logging" und schalte das auf disabled. Wenn du den Feed editierst (ganz unten) findest du die Option und Beschreibung auch nochmal:
Ich habe allerdings auch pfBlockerNG-devel installiert, falls das ein Unterschied sein sollte.
Grüße
Jens -
OK, alles klar jetzt hab ich es. D. h. ich muss dieses Setting für jede „DNSBL Source Definition“ machen!?
Beste Grüße
Thomas -
Was meinst du für jede? Wenn du im Feed Summary (erstes Bild) bist, kannst du einfach alle Feeds auf Disabled im Dropdown stellen, Save drücken und gut :) Wenn du aus dem Category Tab (UT1 oder Shalla) noch was hast, dann dort ggf. auch. Sollte aber fix gehen.
-
Alles klar! Dachte ich muss auf jeden Eintrag gehen - es genügt ja auch überall bei Logging disable einzutragen.
Leider zeigt "netstat -Lan" wieder offenen Verbindungen auf Port 8443 an und die Zahl steigt laufend an.
Kann das auf ein falsches Setting im Resolver zurückzuführen sein?
-
Der Resolver hat eigentlich keinerlei Aktien an der Umleitung an Port 8443. Du solltest aber - wenn du in allen DNSBL Regeln das "Logging" abgeschaltet hast ggf. auch die NAT Redirection Regeln auf diese Ports löschen bzw. abschalten. Da müssten es als Outbound NAT auf dem LAN IF ja Regeln geben, die abgehenden Traffic dann auf die im Blocker hinterlegte IP Adresse und 8080/8443 redirecten. Ansonsten wäre es seltsam, wie die Clients überhaupt darauf kommen, dahin eine Verbindung aufzubauen.
Grüße
-
Hi und nochmals danke!
Ich kann unter NAT / Port Forward die beiden Regeln löschen bzw. deaktivieren.
Unter NAT / Outbound sind für WAN die beiden Ports unter ‚Automatic Rules‘ hinterlegt, die kann ich nicht ändern. Gibt es eine Möglichkeit pfBlockerNG daran zu hindern diese anzulegen.
Wozu dienen diese Einstellungen wenn durch Ausschalten des Logging ohnehin nicht auf 10.10.10.0 sondern 0.0.0.0 umgeleitet wird?
Gruß
Thomas -
Müsste ich nochmal nachsehen ob man das Redirecting ganz abschalten kann. BBCan ist da sehr eifrig dabei, Funktion einzubauen aber schießt manchmal ein wenig übers Ziel hinaus. Die ganze VIP Definition finde ich suboptimal. Für ein Single System geht es, im Cluster wenig schön. Muss ich mal sehen, eigentlich sollte man das abklemmen können.
