Pfsense 2.1.5 Squid3, Squidguard und Snort



  • Hallo Freunde,

    Erstmal Danke für das tolle Board hier.
    Ich bin ein wenig dabei mich mit PFsense zu beschäftigen. Daher habe ich mir die Version 2.1.5 auf einem Testserver installiert.

    Erstmal das Standart Full image eingespielt, und Standart config gemacht.
    Pfsense tut nun eigentlich alles was es soll. Da gibt es nur ein Problem, und das hängt mit Snort (IDP) zusammen.
    Vielleicht kann mir von Euch das jemand erklären.

    Folgende packages sind installiert und Konfiguriert und funktionieren auch:
    Squid3         3.1.20 pkg 2.1.1
    Squidguard3  1.4_4 pkg v.1.9.5

    Snort macht Probleme:
    Snort 2.9.6.2 pkg v3.1.2

    Wenn ich von einem x-beliebigen Clienten im LAN nach aussen eine Webseite aufrufe funktioniert es das erste mal immer, sobald man aber auf links oder anderes klickt,
    gibt Squid folgende Fehlermeldung aus:

    Error The requested URL could not be retrieved. Der folgende Fehler wurde beim Versuch die URL xxxx zu holen festgestellt:
    Verbindung zu xxxx Fehlgeschlagen.  Das System antwortete: (1) Operation not permitted

    Der Zielhost oder das Zielnetzwerk ist momentan nicht verfügbar. Bitte wiederholen sie die Anfrage.

    Danach sehe ich jeweils im Snort unter Blocked Einträge nach; lösche ich diese funktionert die Seite auch Plötzlich wieder.
    Darunter fallen auch normale Seite wie zb. Google, Amazon, 20min.ch etc..

    Die Snort Blocked`s  heissen dann zb.
    (http_inspect) DOUBLE DECODING ATTACK
    (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE -
    http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE -

    Jedesmal beim Besuch einer Webseite händisch entfernen zu müssen kanns ja nicht sein. Vielleicht habe ich auch da ein völliger Denkfehler drin.

    Nun kann mir das jemand Bitte erklären, damit ich es verstehe und ändern kann.
    Snort ist ja eigendlich eine Einbruchs Detection oder?

    grüsse
    funroli



  • Was hast du in deinen Alert Settings in Snort stehen?

    Block Offenders [ x ] ??
    Which IP to Block [ both ] ??

    Wenn du willst das "incoming traffic" geblockt wird solltest du "src" auswählen… Es kann natürlich auch sein das du "in & out" blocken willst (zb. SPAMBOTS aus dem internen Netz) dann sollte dort "both" stehen..

    Sollte das ein Fehlalarm sein kannst du "suppress lists" anfertigen und fehlerhafte Regeln somit deaktivieren.. Dazu klickst du unter Alerts auf das kleine Plus am Alarm..



  • Hi dimkyson,

    Das ging Ja Schnell, Danke für deine Schnelle Antwort.

    Block Offerders ist Aktiv
    Which IP to Block steht bei mir auf both Ja

    Da es Alarme bei jeder Seite die ich öffne sind wundert mich das halt einfach ein wenig.
    Was bedeutet den nun die genannten Alarme und Warum?

    Da man ein SPAMBOT durch Applikationen im eigenen Lan nie ganz auschliessen kann wäre ja both eigenlich die richtige wahl oder?
    Wie kann ich mit PFsense Prüfen ob Applikationen sich als SPAMBOT verhalten? (Respektive herausfinden ob ungewollter Traffic rausgesendet wird)

    grüsse
    funroli



  • Prüf mal ob du diese "Fehlermeldungen" von allen bzw. vielen Clients bekommst. Wenn ja würde ich fast sagen das es FalsePositiv Meldungen sind und du diese in die Suppress Liste packen kannst.

    Was der Alarm im einzelnen bedeutet kann ich dir nicht sagen.

    Wieviele Regeln hast du im Regelwerk aktiviert? Ich hoffe nicht alle :D

    Hier ein Tutorial / Anleitung für Anfänger… https://forum.pfsense.org/index.php?topic=61018.0



  • @Dimkson

    Doch so ziemlich alle aus den Community Rules.
    Ich habe es entsprechend dieser Anleitung gemacht http://www.youtube.com/watch?v=8c1LRpWhL0I

    Alarme kommen auch bei anderen Clients.
    Danke für Dein Tutorial, leider in english.

    grüsse funroli


Log in to reply