pfBlockerNG und Regelreihenfolge

Sauerländer

Hallo Zusammen,

Ich habe den pfBlockerNG eingerichtet und nutze momentan nur GeoIP um Traffic aus bestimmten Ländern zuzulassen (Permit Outbound), das funktioniert auch ganz wunderbar.

Unter Ipv4 habe ich nun eine eigene Blockliste (Deny Outbound) angelegt und die entsprechende IPv4 Custom_List mit entsprechenden Domains gefüttert.

Die Regeln werden unter Firewall\Rules\Lan entsprechend angelegt und funktionieren auch nachdem ich diese händisch in die richtige Reihenfolge gebracht habe (Block/Reject Regeln nach oben). Das funktioniert jetzt solage bis die pfSense die Filterregeln updatet (so nach einer Stunde), dann stehen die Blockregeln wieder unter und greifen nicht mehr.

Ich hab schon verstanden das dies mit Firewall Auto Rule Order und dem Firewall Auto Rule Suffix in den Einstellungen des pfBlockerNG zusammenhängt. Aber egal was ich da einstelle oder mache, es gelingt mir einfach nicht eine Firewallregel vor den pfBlocker Autoregeln dauerhaft zu plazieren.

Leider ist mein Englisch nicht so perfekt, so das ich in den vielen englischen Posts immer wieder in Aliasen/Listen und den vielen Einstellungen total verheddere ohne das sich mir die ganzen Zusammenhänge erschließen.

Danke für eure Tipps,

Christian

Bob.Dig

@sauerländer said in pfBlockerNG und Regelreihenfolge:

Das funktioniert jetzt solage bis die pfSense die Filterregeln updatet (so nach einer Stunde), dann stehen die Blockregeln wieder unter und greifen nicht mehr.

Ein Bild sagt mehr als 1000 Worte, aber Du sagst, dass Deine Blockregeln unter deinen Allowregeln stehen? Bild dazu? Durch wen werden diese Regeln jeweils angelegt?
Teilweise reicht es auch nur Aliase über pfBlocker zu erstellen und Regeln dann damit zu kreieren.

Sauerländer

Hier ein Screenshot von meinem Regelsatz:

Ich möchte gern die Regln 'pfB_Blacklist_IP' ,'pfB_Blacklist_URL' und 'WAN net' dauerhaft nach vorne plazieren.

@bob-dig said in pfBlockerNG und Regelreihenfolge:

Teilweise reicht es auch nur Aliase über pfBlocker zu erstellen und Regeln dann damit zu kreieren.

Das habe ich gerade mal ausprobiert, die entsprechenden Aliase sind ja da. Aber auch diese neue händisch erstellt Regel sortiert sich nach einer gewissen Zeit wieder am Ende ein. Die Autorule Order Einstellungen unter Firewall/pfBlockerNG/IP sind übrigens deaktiviert.

Bob.Dig

@sauerländer Die wahrscheinlich beste Lösung wäre dazu folgendermaßen vorzugehen. Du lässt pfBlocker nur die Aliase erstellen (Alias Deny, Alias Permit). Dann kreierst Du selbst deine Regeln und verwendest die Aliase darin und lässt pfBlocker keine Regeln erstellen. Problem solved.

Sauerländer

@bob-dig said in pfBlockerNG und Regelreihenfolge:

@sauerländer Die wahrscheinlich beste Lösung wäre dazu folgendermaßen vorzugehen. Du lässt pfBlocker nur die Aliase erstellen (Alias Deny, Alias Permit). Dann kreierst Du selbst deine Regeln und verwendest die Aliase darin und lässt pfBlocker keine Regeln erstellen. Problem solved.

Der Ansatz leuchtet mir ein, aber es scheitert schon daran das ich die automatisch erstellten Regeln (vom pfBlocker) nicht löschen kann. Ich kann diese zwar aus der Regelliste herauslöschen, aber sobald das nächste CRON Event unter Firewall/pfBlockerNG/Update gelaufen ist, sind die Regeln wieder da.

Ich vermute er legt diese jedesman neu an , und ich komme einfach nicht drauf wo ich das abstellen kann. Irgendwie dreh ich mich immer im Kreis...

Bob.Dig

@sauerländer Dort, wo Du sie auch ursprünglich erstellt hast.

Sauerländer

Das leuchtet ein, aber genau hier hab ich ein totales Brett vorm Kopp.

Wenn ich die Regeln direkt hier lösche sind sie In der Übersicht Firewall/Rules/Lan verschwunden und kommen auch nicht wieder.

Aber wie soll ich den dann beispielsweise eine GeoIP Regel händisch an legen, die dann mir nur gewünschten Länder zulässt ?

@sauerländer said in pfBlockerNG und Regelreihenfolge:

Leider ist mein Englisch nicht so perfekt, so das ich in den vielen englischen Posts immer wieder in Aliasen/Listen und den vielen Einstellungen total verheddere ohne das sich mir die ganzen Zusammenhänge erschließen.

Das ist genau das was ich anfangs in meinem Post meinte. Ich verstehe zwar das Problem aber ich weiss einfach nicht was ich anstellen muss um es zu lösen.

Bob.Dig

@sauerländer Statt "Permit Outbound" zum Beispiel "Alias Permit" auswählen.