BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping



  • Hallo,

    ich habe festgestellt, dass seit dem update von 2.4.3_p1 auf 2.4.4 viele Firewall-Regeln nicht mehr greifen. Alle eigenen Regeln zum Blocken z.b. für bestimmte Zeiten ziehen nicht. Auch eine Block-Regel für eine IP hat keine Wirkung mehr.

    Das ist aus meiner Sicht ein BUG!!! ... und sollte schnell behoben werden. Ich hatte den Verdacht, dass das Update nicht korrekt gelaufeb ist. Daher habe ich die Firewall mit 2.4.4 neu installiert. Die Regeln aus dem Backup zurück gespielt.

    Protokoll ANY/ANY BLOCK eine interne IP = keine Wirkung

    Reihen folge der Regeln sind:
    automatisch generierte vpn pfblocker
    eigene erlaubte Regeln für bestimmte IPs oder FQDNs
    Blockregeln manuell
    Timeshift-Regeln
    Limiter-Regeln mit Limiters und Queues

    Zuerst habe bemerkt, dass jeder im Netz die volle Bandbreite ziehen kann. Nun ziehen keine eigene Regeln mehr.

    WAS IST DA LOS?



  • Kannst Du Deine Konfiguration mal so posten das ein Außenstehender sowohl Dein Netzaufbau als auch Dein Regelwerk verstehen kann?

    Ich habe gerade mal etwas getestet, und meine Regeln greifen.

    -teddy


  • Moderator

    Sorry aber ein paar Grundregeln:

    @foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping:

    Das ist aus meiner Sicht ein BUG!!! ... und sollte schnell behoben werden.

    Das ist immer gut möglich, wenngleich nach solch langer Testphase ungewöhnlich, da der Standard Filter wohl mit am Meisten getestet ist. Standard Regelwerk das nicht funktioniert wäre also sicherlich aufgefallen. Gleichwohl: wenn das ein (kritischer) Bug für dich ist/wäre -> melde ihn doch auch per Bugtracker (Redmine) direkt ans Team?

    Protokoll ANY/ANY BLOCK eine interne IP = keine Wirkung

    Block von wo nach wo und inwiefern interne IP? Was willst du denn intern blocken - so ohne weiteres Drumherum macht das wenig Sinn?

    Reihen folge der Regeln sind:
    automatisch generierte vpn pfblocker
    eigene erlaubte Regeln für bestimmte IPs oder FQDNs
    Blockregeln manuell
    Timeshift-Regeln
    Limiter-Regeln mit Limiters und Queues

    Nochmal: Ohne ein Minimum mehr an Details kann das kein Mensch nachvollziehen, da hier weder Interfaces, noch Traffic Richtung/Flow, noch Regeln etc. stehen. Das ist pure Raterei.

    WAS IST DA LOS?

    Das frage ich dich? Und: warum muss man dazu brüllen?

    Um mein erstes Kommentar zu ergänzen und in Erinnerung zu rufen: du brüllst hier Privatpersonen im kostenlosen(!) freiwilligen(!) deutschen(!) Forenbereich an, dass deine unspezifizierten, unkommentierten und für uns undurchsichtigen Regeln nicht funktionieren. Hier ist niemand vom Team bezahlt, die deutschen Posts zu lesen. Du bemerkst somit sicher das eindeutige Mißverhältnis deiner Kommunikation? 😉
    Ein bisschen Foren-/Kommentarkultur, Höflichkeit und bei einem Problem Details zur Hilfestellung vorauszusetzen ist sicher nicht zu viel verlangt - oder? ☺

    Trotzdem zurück zum eigentlichen Punkt: das Regelwerk in 2.4.4 funktioniert. Regeln werden nach wie vor von oben nach unten abgearbeitet. Shaper oder Limiter greifen - wie man mehreren Posts im englischen Forenbereich entnehmen kann, die zB den neuen FQ_Codel Limiter gerade exzessiv testen und konfigurieren (Bufferbloat und Co.). Auch Time Based Rules sollten nach wie vor funktionieren, ich habe allerdings nur eine recht simple im Einsatz. Wenn es also nicht läuft, dann kann das verschiedenste Ursachen haben. Ohne mehr Details ist das wie oben bereits gesagt allerdings leider bloße Raterei.

    Gruß



  • @magicteddy Hallo,
    was meinst Du denn genau mit Deiner Frage? Ich versuche mal etwas konkreter zu werden.
    In meinem Ruleset für das LAN gibt es Regeln für Netzwerkbereiche. Ich nutze das Addon pfblocker, welches die Regeln automatisch den entsprechenden Interface zuordnet. Zusätzlich nutze ich, damit meine Leitung nicht von einem Device oder einer Person komplett genutztz wird, Regeln die zeitgesteuert eben diese IPs blocken sollen oder auf eine Bandbreite reduzieren sollen. Dann nutze ich auch Aliase, um nicht notwendigen Traffic (aus meiner Sicht) zu blocken. Hierzu gehören die von Microsoft sehr genutzen unnötigen FQDNs, die bereits in einem anderen Thread erwänht worden sind. Mir ist auch wichtig, dass kein IPv6 in meinem eigenen Netz genutzt wird. Daher hat mein WAN-Device keine IPv6-Adresse, obwohl mir der Router meines Providers eine zuweist. Warum ich das mache, ... später.

    Nun zum Aufbau:
    1.) Die von pfsense eigen Regel: Anti-Lockout Rule
    2.) Die von pfblocker generierten Einträge. Diese werden z.B. von https://www.iblocklist.com inder Bezahlvariante genutzt.
    0_1539194776901_pfblocker_example.jpg

    Hier (beim Addon pfblocker) nutze ich auch "DNSBL Feeds".
    0_1539194985813_pfblocker_DNSBLexample1.jpg
    0_1539194997998_pfblocker_DNSBLexample2.jpg
    3.) aus Aliasen, generiert aus einem DNS Lookup, und festen IPs von Herstellern zugelassene Regeln (ALLOW).
    4.) BLOCK: Hier stehen Regeln, die IPs blocken sollen. d.h. einige Geräte sollen zwar intern erreichbar sein, sollen aber nicht in das Internet. z.b. Mein alter Farblaser, der eh keine Updates mehr bekommt, muss nicht nach draußen quatschen können. ILO-IPs sollen ebenfalls intern bleiben. Dann kommen noch Regeln für die Kinder. Einige Deivices dürfen andere wieder nicht.
    5.) manual own timeshift block rules: Hier sollen Devices einen zeitdefinierten Zugang haben, denn so kann man am einfachsten, den Internetzugang zeitlich begrenzen.
    6.) Nun kommen wir zu den Regeln mit dem gedrosselten Down- und Upload. Hier stehen Regeln für meine z.B .TV-Box, die nicht unbedingt meine gesamte Bandbreite haben soll, denn ich will ja noch arbeiten können. Das realisiere ich mit "Traffic Shaper". Hier nutze ich nicht den Wizzard, sondern definiere mein Gesamtdownload und Uploadrate. Von dieser aus, baue ich Regeln wie z.B. 1MBit Download. Mit den "Limiters" definiere ich den Upload. Diese werden dann einem IP-Bereich, einem Alias oder einer IP zugewiesen.
    0_1539194686290_queues.jpg
    0_1539194708072_limiters.jpg

    Mit diesen Einstellungen war ich bis 2.4.3_p1 in der Lage, jede erdenkliche Anpassung für einen IP-Bereich, einem Alias oder einer IP schnell anzupassen. Ich habe absichtlich nicht die "Limiters"/ den "Traffic Shaper" in einer solchen Regel hinterlegt, damit ich individuell reagieren kann.

    Das hat bis 2.4.4 einwandfrei funktioniert.

    Nur aus diesem Grund habe ich hier die Frage gestellt, ob es zur Zeit, bei einem anderen, der vielleicht eine ähnliche Konfiguration fährt auch von solchen Problemen berichten kann.

    Ich möchte, wie man hoffentlich erkennen sollte, pfsense nicht schlecht machen. Das ist nicht mein Ziel. Nein ich bin Verfechter dieser Firewall.



  • @jegr Hallo,

    ich endschuldige mich für das "Brüllen", was aus meiner Sicht von Dir überinterpretiert worden ist. Wie dem auch sei, ich möchte nur etwas mitteilen und nichts und niemanden verärgern, was sicherlich bei Dir passiert ist.

    Sorry.

    Warum habe ich das hier geposted?
    Nur aus diesem Grund habe ich hier die Frage gestellt, ob es zur Zeit, bei einem anderen, der vielleicht eine ähnliche Konfiguration fährt auch von solchen Problemen berichten kann.

    Ich möchte, wie man hoffentlich erkennen sollte, pfsense nicht schlecht machen. Das ist nicht mein Ziel. Nein ich bin Verfechter dieser Firewall.

    Daher nochmal die Frage, hat jemand das gleiche beobachten können?



  • Hallo in die Runde,

    ich hoffe nun wird es klarer, oder?


  • Moderator

    Guten Morgen!

    @foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping:

    was sicherlich bei Dir passiert ist.

    Würde ich so nicht sagen, ich habe nur ein Problem damit, wenn eben solche relativ simplen Höflichkeiten vergessen werden. Und da es in reinem Text (ohne irgendwelche Emotes oder sonstwas) oft schwer ist einen Unterton mitzubekommen, weiß man eben nicht, wie etwas gemeint ist. So sieht man nur, dass ein sehr - nennen wir es - fordernder Text mit CAPS garniert im Wald steht ;) Daher mein Kommentar, man möge das doch einfach mal wertneutraler und freundlicher schreiben, denn Forderungen nach Bugfixing und Co sind an uns eben komplett fehl am Platz :)

    @foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping:

    Daher nochmal die Frage, hat jemand das gleiche beobachten können?

    Wie schon oben beschrieben, konnte ich kein Verhalter dieser Art weder bei Kunden noch bei uns sehen bei den Systemen die bereits auf 2.4.4 umgerüstet wurden.

    pfBlocker

    Das sieht mir nach pfBlockerNG aus, aber nicht nach der aktuelleren Devel Version, sondern der alten stable?

    Zu allen anderen Punkten kann man immer noch nichs sagen, da du keinerlei Screen mit deinen Regeln auf dem LAN mitgegeben hast. Die Limiter sehen ja ganz OK aus, aber so lange man keine Regeln sieht, wo wie und warum die eingebaut sind, kann dir kein Mensch weiterhelfen, denn leider ist uns die Hellsicht nicht gegeben - mir zumindest nicht ;) Da hilft auch deine Listenaufzählung nicht wirklich - sorry.



  • @jegr Hallo,
    irgendwie kommen wir hier nicht zusammen. Ich habe mich entschuldigt. Ich habe Informationen geposted. Ich nutze keine Emotes, da ich diese hier für unangebracht erachte. Egal... Fangen wir am Besten von vorn an.

    Inzwischen habe ich meine pfsense komplett neu installiert. Ich habe keine Backups eingespielt und aus Screenshots meine Konfigurationen wieder nachbilden können.

    Welche Addons habe ich installiert:

    1. arping 1.2.2_1
    2. Backup 0.5_2
    3. bandwidthd 0.7.4_1
    4. Cron 0.3.7_3
    5. darkstat 3.1.3_4
    6. LADVD 1.2.2
    7. Lightsquid 3.0.6_4
    8. mailreport 3.3
    9. nmap 1.4.4_1
    10. Notes 0.2.9_2
    11. ntopng 0.8.13
    12. openvpn-client-export 1.4.17_2
    13. pfBlockerNG 2.1.4_13
    14. RRD_Summary 2.0
    15. Service_Watchdog 1.8.6
    16. Shellcmd 1.0.5_1
    17. snort 3.2.9.7_2
    18. squid 0.4.44_5
    19. squidGuard 1.16.18_1
    20. Status_Traffic_Totals 1.2.4
    21. System_Patches 1.2_1
    22. zabbix-agent34 1.0.2

    Nach der Neuinstallation und dem Abgleich konnte ich keine Fehler mehr feststellen. Ich bin mir nun nicht sicher, woran das gelegen hat, aber ich konnte auf der Konsole (Monitor direkt an der pfsense angschlossen) beim Update von 2.4.3_p1 auf 2.4.4 diverse Library-Fehler sehen. Diese sind entstanden beim Update aller Addons und zwar vor dem eigentlichen Update auf 2.4.4. Zunächst habe ich das ignoriert und bei der Neuinstallation konnte ich solche Fehlermeldungen auf der Konsole nicht mehr feststellen. Daher denke ich, dass das Update oder die Reihenfolge des Updates vielleicht eine Rolle gespielt haben. Da bin ich mir nun nicht mehr 100%ig sicher.

    Ich denke nun sind alle Informationen geflossen. Aus diesem Grund denke ich dass dieser Thread geschlossen werden kann.

    mit freundlichem Gruß an die Runde.


  • Moderator

    @foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping:

    aber ich konnte auf der Konsole (Monitor direkt an der pfsense angschlossen) beim Update von 2.4.3_p1 auf 2.4.4 diverse Library-Fehler sehen

    Dann hast du das Problem, das in verschiedenen Posts hier bereits besprochen wurde mitgenommen, dass deine pfSense bereits ein unvollständiges Update auf 2.4.4 gemacht hatte (weil es Abhängigkeiten bei pfBlocker, Acme etc. gab die dann das PHP Subsystem mitgezogen haben). Danach MUSS ein ordentliches vollständiges 2.4.4 Update gemacht werden um die Fehler zu beseitigen, oder man hat ein halbgares System, das nicht korrekt und vollständig geupdated wurde. Das hast du aber leider nirgends gesagt und beschrieben, sonst hätte ich da direkt auf meinen Post verweisen können, wo ich explizit davor gewarnt habe mit entsprechenden Quellen wie man vorgehen kann.

    Zudem finde ich es bei dem großen Sammelsurium an Paketen keine große Überraschung, dass bei einem Update was schief laufen kann bzw. man hier ggf. zweimal nachsehen sollte, ob wirklich alles sauber aktualisiert wurde - zumal du derart viele Packages hast (Squid, Ntop, pfBNG, Snort etc.) die alle in den Filter reingreifen, dass ich persönlich mir da dreimal überlegen würde, ob es nicht an meinem Setup liegt, dass es nicht funktioniert und nicht an einem Bug der übersehen wurde - zumal die Pakete nicht unter Ägide der Netgate Leute stehen, sondern der Community. Sollte man auch immer im Hinterkopf behalten, gerade bei einem größeren Update, was 2.4.4 (trotz kleiner Versionsnummer) ja durchaus (angekündigt) war. Und nein, das ist keine Kritik an dir, sondern lediglich ein Vorschlag zum Debugging für ein nächstes Mal :)