Problem mit dem Service pfBlockerNG

kreidlmedia

Seit meinen letzten Reboot der Firewall, kann ich meinen Service Dienst "pfBlockerNG DNSBL Web Server" nicht mehr starten.
Siehe hier: https://prnt.sc/26d6oz1

Starte nicht mehr und ich komme nicht mehr von Aussen auf meine Heimnetzwerk zu.

Dazu bekomme ich mehere Meldungen über Unresolvable source alias 'pfB_Europe_v4' for rule 'NAT NAS Webinterface SSL' @ 2022-01-13 13:51:15

System PFSense 2.5.2

Update von pfBlockerNG

===[ Aliastables / Rules ]==========================================

No changes to Firewall rules, skipping Filter Reload
No Changes to Aliases, Skipping pfctl Update

UPDATE PROCESS ENDED
CRON PROCESS START [ 01/13/22 13:00:00 ]
UPDATE PROCESS START

Clearing all DNSBL Feeds...
** DNSBL Disabled **

===[ Continent Process ]============================================

[ pfB_Europe_v4 ] exists.
[ pfB_Europe_v6 ] exists.

===[ Aliastables / Rules ]==========================================

No changes to Firewall rules, skipping Filter Reload
No Changes to Aliases, Skipping pfctl Update

UPDATE PROCESS ENDED
UPDATE PROCESS START [ 01/13/22 13:40:04 ]

Clearing all DNSBL Feeds...
** DNSBL Disabled **

===[ Continent Process ]============================================

[ pfB_Europe_v4 ] exists.
[ pfB_Europe_v6 ] exists. [ 01/13/22 13:40:05 ]

===[ Aliastables / Rules ]==========================================

No changes to Firewall rules, skipping Filter Reload
No Changes to Aliases, Skipping pfctl Update

UPDATE PROCESS ENDED

**Saving configuration [ 01/13/22 13:45:10 ] ...

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

Seit meinen letzten Reboot der Firewall, kann ich meinen Service Dienst "pfBlockerNG DNSBL Web Server" nicht mehr starten.
Siehe hier: https://prnt.sc/26d6oz1

Von welcher pfBlockerNG - Version ist die Rede?

Grüße,
fireodo

kreidlmedia

@fireodo Version 2.1.4_26

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

Version 2.1.4_26

Diese alte Version wird nicht mehr gepflegt (soweit ich weiß) da würde ich empfehlen auf Version pfBlockerNG-devel 3.1.0_1 upzudaten!

kreidlmedia

@fireodo Einfach unter Paketverwaltung -> Verfügbare Pakete und die
neuste Version installieren ?

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

Einfach unter Paketverwaltung -> Verfügbare Pakete und die
neuste Version installieren ?

Alte Version deinstallieren (Haken bei "Keep Settings") und anschliessend die pfBlockerNG-devel Version installieren. Vorher aber die config sichern falls was schiefgehen sollte.

kreidlmedia

@fireodo Danke teste ich mal

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

Danke teste ich mal

kreidlmedia

@fireodo
Habe ich jetzt gemacht aber laut Dinste ist er immer noch deaktiviert und lässt sich nicht starten https://prnt.sc/26dkvlo

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

deaktiviert und lässt sich nicht starten

Hmmm - Kannst mal deine dnsbl Einstellungen zeigen?
Hast mal ein "Force update" ausgeführt?
Eventuell auf der Befehlszeile /usr/local/etc/rc.d/pfb_dnsbl.sh ausführen und schauen ob, oder was für eine Fehlermeldung kommt ...

kreidlmedia

@fireodo said in Problem mit dem Service pfBlockerNG:

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

deaktiviert und lässt sich nicht starten

Hmmm - Kannst mal deine dnsbl Einstellungen zeigen?
Hast mal ein "Force update" ausgeführt?
Eventuell auf der Befehlszeile /usr/local/etc/rc.d/pfb_dnsbl.sh ausführen und schauen ob, oder was für eine Fehlermeldung kommt ...

Also von aussen komme ich wieder rauf, ob die GeoIP Function wieder gegeben ist muß ich erst testen. Hier mal die Einstellungen:

Ich sehe schon das der dnsbl dienst nicht aktiviert ist in der neuen version.
was macht der, benötigt man diesen überhaupt wenn man nur auf GeoIP blockt ?

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

Ich sehe schon das der dnsbl dienst nicht aktiviert ist in der neuen version.

Wenn dnsbl nicht aktiviert ist startet auch der dnsbl Dienst nicht. Den brauchst du aber um Domains zu blocken (Python Mode aktivieren ist nicht verkehrt).

PS. Lösche https://prnt.sc/xxxxxx - da ist nämlich dein Key auszulesen!

kreidlmedia

@fireodo genau bitte du auch löschen

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

@fireodo genau bitte du auch löschen

Ich meinte dort wo du es hochgeladen hast

kreidlmedia

@fireodo kann ich nicht löschen nach 3 tagen weg

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

nach 3 tagen weg

Ah, OK - dann würde ich einen neuen MaxMind License Key generieren ...

kreidlmedia

@fireodo ÄZuerst mal DANKE für deine Hilfe!

Habe ich gemacht.
dnsbl = Das ich Domains blockieren wenn jemand diese in den Browser eingibt ?

fireodo

@kreidlmedia said in Problem mit dem Service pfBlockerNG:

dnsbl = Das ich Domains blockieren wenn jemand diese in den Browser eingibt ?

Ja, das ist der Hintergrund - diese Domains die geblacklisted sind befinden sich in sogenannten Feeds - die kannst du unter Feeds (mit Bedacht) aussuchen.
BTW: du solltest dich etwas mit dem Funktionsprinzip des pfblockerNG vertraut machen falls noch nicht geschehen! ;-)

JeGr

@fireodo Seine Frage weiter oben war ja ganz konkret: "Brauch ich DNSBL überhaupt wenn ich nur GeoIP mache".

Einfache Antwort: Nein.

DNSBL ist nur DNS Blocklisting via DNS Service. Statt einer Antwort IP x.y.z.a erhält der Client dann von der pfSense (DNS Resolver) via Listen von pfBlockerNG eine Liste mit Domains/URLs gefüttert und antwortet dann statt 192.0.2.123 einfach mit 0.0.0.0 oder 127.0.0.1 - oder mit der IP der Sense wenn man ne Warnseite anzeigen will was aber nicht unproblematisch ist.

Blocklisting mit 0.0.0.0 ist der schnellste Weg. Wenn man aber nur IP Listen und/oder GeoIP macht, ist es völlig normal, dass der DNSBL Part gestoppt ist und wird auch nicht benötigt. Ist bei mir bspw. auch so, da ich DNS via zwei PiHole Containern manage und daher auf der Sense keinen DNSBL brauche und nur IP Listen und GeoIP mache.

Cheers :)

fireodo

@jegr said in Problem mit dem Service pfBlockerNG:

@fireodo Seine Frage weiter oben war ja ganz konkret: "Brauch ich DNSBL überhaupt wenn ich nur GeoIP mache".
Einfache Antwort: Nein.

Na klar - aber dann braucht man sich auch nicht zu wundern dass der DNSBL-Dienst nicht läuft! (wenn man ihn eh nicht braucht) Das war nämlich die Eingangsfrage!

Cheerio :-)