Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [erledigt] Problem Scheduled Firewall Rules Verbindung bleibt bestehen

    Deutsch
    3
    7
    723
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • magicteddy
      magicteddy last edited by

      Moin,

      damit unsere Kurzen den Matratzenhorchdienst nicht verpassen habe ich ihnen zeitabhängige Regeln verpasst:

      • erlaube  IPv4 * * * * * * none Zeitregel Freie Bahn mit Marzipan

      • blockiere IPv4 * * * * * * none                   Hier ist Schluss

      funktioniert, die Verbindung wird nach Zeitplan unterbrochen.

      Wenn ich aber noch zeitunabhängige Blockregeln in andere Netzabschnitte wo sie nichts zu suchen haben oberhalb der ersten Regel einfüge bleibt die Verbindung bestehen bis ich entweder die Verbindung kurz unterbreche oder reset States ausführe. Ist das ein Bug? Habe ich was übersehen?  :o

      -teddy

      Nachtrag: Wenn ich die Blockregeln oberhalb mit, in meinen Augen sinnlosen, Zeitplan versehe funktioniert es wie gewollt, die Verbindung wird unterbrochen. ::)
      Nachtrag 2: Oder auch nicht, war wohl Zufall und hat nur ein mal funtioniert :(

      @Work Lanner FW-7525B pfSense 2.5.2
      @Home APU.2C4 pfSense 2.5.2
      @CH APU.1D4 pfSense 2.5.2

      1 Reply Last reply Reply Quote 0
      • 2
        2chemlud Banned last edited by

        Hi!

        Immer das selbe ;-)

        Angeblich soll es ab 2.2 funktionieren, dass die States (bestehende Verbindungen nach draussen) gekillt werden, wenn man eine scheduled allow (! nicht block) rule hat.

        Da ich aber nur wenige Ports überhaupt zulasse wäre mir das zu aufwändig, daher habe ich ganz oben eine scheduled block all rule für die IPs der Kiddies.

        Dann braucht man Cron als Paket und fügt 1 Minute nach der block time einen Job ein:

        /sbin/pfctl -F state

        Das killt alle States, dann ist Ruhe im Karton.

        Früher (bis 2.1.5) konnte man auch selektiv die States für einzelne IP killen, aber das klappt nicht mehr zuverlässig bei mir, daher diese etwas murksige Lösung.

        Ich lasse mir per eMailreport die States aller wichtigen IPs vor und nach dem block als eMail schicken. Sicher ist sicher…

        /sbin/pfctl -ss | grep aaa.bbb.ccc.ddd

        Grüße

        1 Reply Last reply Reply Quote 0
        • JeGr
          JeGr LAYER 8 Moderator last edited by

          Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich  unnötig, da - wenns kein allow gibt, automatisch ein deny kommt. Ergo unnötig und deine anderen Allows ohne Zeitplan o.ä. könnten ganz normal unter die Zeitregel für die Hüpfer.

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • magicteddy
            magicteddy last edited by

            Moin,

            @JeGr:

            Anders gefragt: warum hast du unten drunter überhaupt eine Blockregel? Die ist eigentlich  unnötig, da - wenns kein allow gibt, automatisch ein deny kommt…

            Weil ich das Pferd von der falschen Seite aufzäumen wollte  ;)

            @2chemlud:

            …
            /sbin/pfctl -F state 
            Das killt alle States, dann ist Ruhe im Karton.

            Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … :o

            Danke, Teddy

            @Work Lanner FW-7525B pfSense 2.5.2
            @Home APU.2C4 pfSense 2.5.2
            @CH APU.1D4 pfSense 2.5.2

            1 Reply Last reply Reply Quote 0
            • JeGr
              JeGr LAYER 8 Moderator last edited by

              Soetwas war mein Plan b, aber kaum macht man es richtig funktioniert es auch schon … 

              Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • magicteddy
                magicteddy last edited by

                @JeGr:

                Definiere "richtig"? ;) Was hast du jetzt gemacht dass es geht?

                Das Pferd umgedreht  ;D

                Plan a  8) Eine allow Regel mit Schedule
                Habe es heute morgen 2x erfolgreich durchlaufen lassen und heute Abend erfolgt die Generalprobe :P
                Wenn die Zwerge dann nahezu gleichzeitig im Wohnzimmer auftauchen sind sie offline :P.

                -teddy

                @Work Lanner FW-7525B pfSense 2.5.2
                @Home APU.2C4 pfSense 2.5.2
                @CH APU.1D4 pfSense 2.5.2

                1 Reply Last reply Reply Quote 0
                • JeGr
                  JeGr LAYER 8 Moderator last edited by

                  Nice job :D

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post