4. [erledigt] Problem Scheduled Firewall Rules Verbindung bleibt bestehen

[erledigt] Problem Scheduled Firewall Rules Verbindung bleibt bestehen


  • Moin,

    damit unsere Kurzen den Matratzenhorchdienst nicht verpassen habe ich ihnen zeitabhängige Regeln verpasst:

    • erlaube  IPv4 * * * * * * none Zeitregel Freie Bahn mit Marzipan

    • blockiere IPv4 * * * * * * none                   Hier ist Schluss

    funktioniert, die Verbindung wird nach Zeitplan unterbrochen.

    Wenn ich aber noch zeitunabhängige Blockregeln in andere Netzabschnitte wo sie nichts zu suchen haben oberhalb der ersten Regel einfüge bleibt die Verbindung bestehen bis ich entweder die Verbindung kurz unterbreche oder reset States ausführe. Ist das ein Bug? Habe ich was übersehen?  :o

    -teddy

    Nachtrag: Wenn ich die Blockregeln oberhalb mit, in meinen Augen sinnlosen, Zeitplan versehe funktioniert es wie gewollt, die Verbindung wird unterbrochen. ::)
    Nachtrag 2: Oder auch nicht, war wohl Zufall und hat nur ein mal funtioniert :(

    0
  • 2
    Banned

    Hi!

    Immer das selbe ;-)

    Angeblich soll es ab 2.2 funktionieren, dass die States (bestehende Verbindungen nach draussen) gekillt werden, wenn man eine scheduled allow (! nicht block) rule hat.

    Da ich aber nur wenige Ports überhaupt zulasse wäre mir das zu aufwändig, daher habe ich ganz oben eine scheduled block all rule für die IPs der Kiddies.

    Dann braucht man Cron als Paket und fügt 1 Minute nach der block time einen Job ein:

    /sbin/pfctl -F state

    Das killt alle States, dann ist Ruhe im Karton.

    Früher (bis 2.1.5) konnte man auch selektiv die States für einzelne IP killen, aber das klappt nicht mehr zuverlässig bei mir, daher diese etwas murksige Lösung.

    Ich lasse mir per eMailreport die States aller wichtigen IPs vor und nach dem block als eMail schicken. Sicher ist sicher…

    /sbin/pfctl -ss | grep aaa.bbb.ccc.ddd

    Grüße

    0
  • LAYER 8 Moderator

    Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich  unnötig, da - wenns kein allow gibt, automatisch ein deny kommt. Ergo unnötig und deine anderen Allows ohne Zeitplan o.ä. könnten ganz normal unter die Zeitregel für die Hüpfer.

    Grüße

    0

  • Moin,

    @JeGr:

    Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich  unnötig, da - wenns kein allow gibt, automatisch ein deny kommt…

    Weil ich das Pferd von der falschen Seite aufzäumen wollte  ;)

    @2chemlud:


    /sbin/pfctl -F state 
    Das killt alle States, dann ist Ruhe im Karton.

    Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … :o

    Danke, Teddy

    0
  • LAYER 8 Moderator

    Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … 

    Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?

    0

  • @JeGr:

    Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?

    Das Pferd umgedreht  ;D

    Plan a  8) Eine allow Regel mit Schedule
    Habe es heute morgen 2x erfolgreich durchlaufen lassen und heute Abend erfolgt die Generalprobe :P
    Wenn die Zwerge dann nahezu gleichzeitig im Wohnzimmer auftauchen sind sie offline :P.

    -teddy

    0
  • LAYER 8 Moderator

    Nice job :D

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy