[erledigt] Problem Scheduled Firewall Rules Verbindung bleibt bestehen
-
Moin,
damit unsere Kurzen den Matratzenhorchdienst nicht verpassen habe ich ihnen zeitabhängige Regeln verpasst:
-
erlaube IPv4 * * * * * * none Zeitregel Freie Bahn mit Marzipan
-
blockiere IPv4 * * * * * * none Hier ist Schluss
funktioniert, die Verbindung wird nach Zeitplan unterbrochen.
Wenn ich aber noch zeitunabhängige Blockregeln in andere Netzabschnitte wo sie nichts zu suchen haben oberhalb der ersten Regel einfüge bleibt die Verbindung bestehen bis ich entweder die Verbindung kurz unterbreche oder reset States ausführe. Ist das ein Bug? Habe ich was übersehen? :o
-teddy
Nachtrag: Wenn ich die Blockregeln oberhalb mit, in meinen Augen sinnlosen, Zeitplan versehe funktioniert es wie gewollt, die Verbindung wird unterbrochen. ::)
Nachtrag 2: Oder auch nicht, war wohl Zufall und hat nur ein mal funtioniert :( -
-
Hi!
Immer das selbe ;-)
Angeblich soll es ab 2.2 funktionieren, dass die States (bestehende Verbindungen nach draussen) gekillt werden, wenn man eine scheduled allow (! nicht block) rule hat.
Da ich aber nur wenige Ports überhaupt zulasse wäre mir das zu aufwändig, daher habe ich ganz oben eine scheduled block all rule für die IPs der Kiddies.
Dann braucht man Cron als Paket und fügt 1 Minute nach der block time einen Job ein:
/sbin/pfctl -F state
Das killt alle States, dann ist Ruhe im Karton.
Früher (bis 2.1.5) konnte man auch selektiv die States für einzelne IP killen, aber das klappt nicht mehr zuverlässig bei mir, daher diese etwas murksige Lösung.
Ich lasse mir per eMailreport die States aller wichtigen IPs vor und nach dem block als eMail schicken. Sicher ist sicher…
/sbin/pfctl -ss | grep aaa.bbb.ccc.ddd
Grüße
-
Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich unnötig, da - wenns kein allow gibt, automatisch ein deny kommt. Ergo unnötig und deine anderen Allows ohne Zeitplan o.ä. könnten ganz normal unter die Zeitregel für die Hüpfer.
Grüße
-
Moin,
Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich unnötig, da - wenns kein allow gibt, automatisch ein deny kommt…
Weil ich das Pferd von der falschen Seite aufzäumen wollte ;)
…
/sbin/pfctl -F state
Das killt alle States, dann ist Ruhe im Karton.Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … :o
Danke, Teddy
-
Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … 
Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?
-
Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?
Das Pferd umgedreht ;D
Plan a 8) Eine allow Regel mit Schedule
Habe es heute morgen 2x erfolgreich durchlaufen lassen und heute Abend erfolgt die Generalprobe :P
Wenn die Zwerge dann nahezu gleichzeitig im Wohnzimmer auftauchen sind sie offline :P.-teddy
-
Nice job :D
