Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Mitä käytätte bufferbloatin torjuntaan Pfsensessä? Olen tehnyt limiterin jossa on Queue Management Algorithm codel ja Scheduler käytössä on Fq_codel. Tällä bufferbloat muuttuu c luokasta a luokkaan eli suunta on oikea. Ihmetyttä vain tuolla limiter info:ssa, kun näyttää siltä että se tekee packet drop:a, onko se haitallista? Eikö pakettien kuuluisi vain odotella puskurissa ja edetä pienen viiveen kanssa tuolla Fq_codel:lla? Käytän tässä palomuurin säännöissä floatin rulea, jos sillä on merkitystä.
 
Mitä käytätte bufferbloatin torjuntaan Pfsensessä? Olen tehnyt limiterin jossa on Queue Management Algorithm codel ja Scheduler käytössä on Fq_codel. Tällä bufferbloat muuttuu c luokasta a luokkaan eli suunta on oikea. Ihmetyttä vain tuolla limiter info:ssa, kun näyttää siltä että se tekee packet drop:a, onko se haitallista? Eikö pakettien kuuluisi vain odotella puskurissa ja edetä pienen viiveen kanssa tuolla Fq_codel:lla? Käytän tässä palomuurin säännöissä floatin rulea, jos sillä on merkitystä.
Sama setuppi täällä ja pääsin packet dropista eroon kuristamalla upload limiteriä pienemmäksi (noin 1-2 Mbit alhaisemmaksi todellisesta upload-nopeudesta).
 
Sama setuppi täällä ja pääsin packet dropista eroon kuristamalla upload limiteriä pienemmäksi (noin 1-2 Mbit alhaisemmaksi todellisesta upload-nopeudesta).

Tätä pelkäsinkin, adsl liittymän 0.6Mbps up kaistasta on hankala vähentää.

Onko jokin muu ratkaisu parempi vai jatkanko tällä? Tcp liikenteelle ei ole niin haitallista, mutta jos udp paketit tippuu niin saattaa tulla ongelmia.

Lisään vielä, että mitään käytännön ongelmia ei ole ollut, ainoastaan limiter info:ssa näyttää tulevan packet drop, mikäli oikein tulkitsen. Dsl reports testissä ei ole kuitenkaan yhtään packet drop:a ja quality on A.

Eilen oli verkko kuormituksen alla, 2 verkkopeliä pc ja ps4 sekä iptv käytössä, ei ongelmia millään laitteella vaikka koko kaista oli käytössä.
 
Viimeksi muokattu:
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
 
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
Käänteinen palomuurisääntö ”estä kaikki IP:t paitsi mainitun”.
 
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?

En ole itse vielä kun testaillu erillisessä verkossa ohjelmiston toimivuutta.
mutta eikö vlan nimenomaan automaattisesti estä liikenteen eri vlan verkkoon ilman varsinaista estämistä.
Mutta säännöillä (rules) viimeistään pitäisi esto luonnistua. Source vlan oma verkko eikä lan

Tuossa on yksi verkkoliitäntä ja vlanit on virtuaalisia, sulla varmaan voi määrittää suoran vlanin porttiin jos niitä enemmän.
Interfaces -> Assigments ->VLANs voi lisätä vlanit.
Jos olen pihalla niin vasta itse yritän ottaa ohjelmaa käyttöön.
En pääse testaamaan ennen kuin kotiverkon käyttö rauhoittuu ja voi rauhassa sekoittaa ja kokeilla juttuja.
Huom. tuo intel wlan ei toimi, kun vain atheros kortit on tuettuja.
upload_2019-12-22_15-52-5.png


upload_2019-12-22_15-55-26.png

upload_2019-12-22_16-0-49.png
 
Viimeksi muokattu:
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
Kuten tuossa aikaisemmin mainittiinkin, niin käänteinen sääntö ja Aliaksilla pelaaminen. En ole tätä aikaisemmin muurien kanssa pelannut, mutta kaipasin itsekin myös, kun tätä testailin, että olisi suoraan reitti sallittu ulos eikä tällain kikkailemalla.

Itse olen tuolle IoT verkolle tehnyt myös aliakset muutamalle IP osoitteelle mitkä pääsevät ulos. Muuten kaikki muu on blokattuna ja jos haluaa koko verkon, niin pistää sourceen sen koko verkon, niin ei tarvitse aliaksien kanssa pelata.

Kun tuota invert matchia käyttää, niin kaikkialle muualle nyt liikenne sallittu paitsi sinne mitä löytyy Aliaksesta.

Annotation 2019-12-22 163402.jpg Annotation2 2019-12-22 163402.jpg
 
Joo homma on edennyt.. telkku näkyy kohta joka kanavalta. Mielenkiintoista miten monesta eri osoitteesta iptv:n dataa tulee, riippuen mitä kanavaa katsoo. Osa ip-osoitteista näyttää olevan oman operaatorin osa viittaa Alands Telekommunikation Ab:hen. Melkoista kokeilua ollut mutta nyt homma alkaa olla voiton puolella ;)

Suurin ongelma oli kun ei tiennyt oikeita osoitteita mitä laittaa tuohon igmp proxyn wan -puolelle.

Voitko kertoa mitä osoitteita olet laittanut tuohon igmp proxyn wan puolelle?

Aiemmin sanoin, että elisa viihde toimii ilman säätöä, mutta huomasin olevani väärässä. Unicast toimii hyvin kuten aiemmin sanoin, mutta multicast ei.
Nyt haluaisin mielenkiinnon ja harjoituksen vuoksi saada tuon multicast liikenteen toimimaan.

Netistä löytyy jotain ohjeita, mutta en ole oikein varma, että uskaltaako niitä noudattaa.
 
Tätä pelkäsinkin, adsl liittymän 0.6Mbps up kaistasta on hankala vähentää.

Onko jokin muu ratkaisu parempi vai jatkanko tällä? Tcp liikenteelle ei ole niin haitallista, mutta jos udp paketit tippuu niin saattaa tulla ongelmia.

Lisään vielä, että mitään käytännön ongelmia ei ole ollut, ainoastaan limiter info:ssa näyttää tulevan packet drop, mikäli oikein tulkitsen. Dsl reports testissä ei ole kuitenkaan yhtään packet drop:a ja quality on A.

Eilen oli verkko kuormituksen alla, 2 verkkopeliä pc ja ps4 sekä iptv käytössä, ei ongelmia millään laitteella vaikka koko kaista oli käytössä.

Tuo bufferbloatti on hieman haastavampaa kun on 4G yhteydet käytössä, paljon liikennettä ja ruuhkaiset tukiasemat. Onko tuohon muuta ratkaisua kuin kuristaa kaista johonkin 5mbps jotta ruuhkautumiset ei jumita tuota koko queue systeemiä?

BTW pitäisikö limiter infossa näkyä kaikki ip-osoitteet joista/joihin on yhteydet auki?
 
Viimeksi muokattu:
Onko tähän igmp proxyn käyttämiseen vinkkejä? En saa sitä toimimaan, vaikka olen seurannut ohjeita, jotain elämää saan elisaviihteen packer captureen, igmp liikennettä nettiin, mutta kuvaa ei tule ja boksi lähettää igmp v2 leave ilmoituksen.

Mitä palomuuri sääntöjä pitää luoda, että tuo voisi toimia? Palomuuri ei näytä estävän liikennettä, mutta onko jotain jota en huomaa?

Multicast toimii jos laitan viihde boksin elisan reitittimeen kiinni.
 
Miten saan jotenkin yleisellä tasolla pfBlockerNG tunkemasta väliin omaa certtiään https-sivuille, ilman listan/listojen puukotusta, tai niiden sivujen lisäämistä yksi kerrallaan Whitelistiin?

Nyt on tällänen ongelma, joka tulee esiin aina välillä joidenki https:ää (esim. What’s New in GeoIP2 « MaxMind Developer Site ) käyttävien sivustojen kanssa:
Errori_1.JPG
Certti:
Errori_2.JPG

[edit] Llisätään nyt samaan syssyyn tääkin ihmetys, jolle en tiä mitä pitäis tehdä
Eli pfSense ilmoittelee tällästä virhettä:
Koodi:
There were error(s) loading the rules: /tmp/rules.debug:35: cannot define table pfB_PRI2_v4: Cannot allocate memory - The line in question reads [35]: table <pfB_PRI2_v4> persist file "/var/db/aliastables/pfB_PRI2_v4.txt"
@ 2019-12-23 14:37:32
 
Jos käyttää geoip tietokantaa niin tietokanta pitää rekisteröidä, uusi pfblockerng tulee lähipäivinä.

Feature #10141: pfBlockerNG - MaxMind License Registration - pfSense Packages - pfSense bugtracker

e. taitaa se sittenki olla käytössä, en ole varma onko oletuksena.
Itse rekisteröin tällä Temp Mail - kertakäyttöinen väliaikainen - anonyymi sähköposti
Tuossa ohjeet pfBlockerNG MaxMind Registration required to continue to use the GeoIP functionality!
upload_2020-1-2_6-51-18.png
Versio pfBlockerNG-devel 2.2.5_28 ilmestyi eilen.
pfBlockerNG MaxMind Registration required to continue to use the GeoIP functionality!
 
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?
 
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?

Olen yrittänyt itse tuota kanssa joskus selvitellä ja vastaus taisi olla että DNS Resolverin kehittäjien pitäisi tehä jotain lisätoiminnallisuutta mikä ei heille kovin iso prioriteetti ole. Saat kyllä näkyviin kaikki DNS pyynnöt laittamalla lokitusleveliä tasolle 3 tai yli DNS Resolverista ja seuraamalla niitä mutta eipä siitäkään näe esimerkiksi jo blokattuja requesteja tai muuta sellaista mitä PiHole todella kivasti näyttää. Tuo on yksi syy miksi välillä tekee mieli palata PiHoleen mutta itsellä oli sen kanssa jostain syystä kummallista käytöstä wifi tukiaseman kanssa, ei nimittäin toiminut wifi tukiasemassa olevien laitteiden kautta se blockaus vaikka käyttivätkin sen DNS serveriä..
 
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?
Riippuu vähän verkkokonfiguraatiostasi ja pfSensen konffista. Jos esim. DNS Resolver on käytössä, sen logitustasoa voi säätää. Samoin pfBlockerNG:ssä lienee jotain.

Kätevintä on ehkä kuitenkin käyttää Diagnostics / Packet Capturea. Siellä esim. Interface = LAN, Protocol UDP, Host Address = tutkittava client, Port 53 (tai 853), Level of detail = Medium. Sitten Start ja Stop, kun pyyntöjä pitäisi olla logissa. Tässä esimerkkinä query "novell2.com", .2.87 on client ja .2.6 on pf (A = IPv4, AAAA = IPv6):
Koodi:
23:09:23.443512 IP (tos 0x0, ttl 64, id 59662, offset 0, flags [DF], proto UDP (17), length 68)
    192.168.2.87.46105 > 192.168.2.6.53: 23429+ [1au] A? novell2.com. (40)
23:09:23.443792 IP (tos 0x0, ttl 64, id 59663, offset 0, flags [DF], proto UDP (17), length 68)
    192.168.2.87.34186 > 192.168.2.6.53: 51797+ [1au] AAAA? novell2.com. (40)
 
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä? En ole käytössä huomannut mitään, mutta tuo luku nousee pikkuhiljaa. Yritin kytkimestä katsella myös porttikohtaisia virheitä, mutta ei osunut silmään mitään epäilyttävää. Joskokaan en välttämättä osaa edes oikein katsoa.

En ole seurannut aiheuttaako mahdollisesti VPN client käyttö koneella tuota vai mikä... Mutta kysytään täältä, jos joku on törmännyt vastaavaan.

Annotation 2020-01-05 201037.jpg
 
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä?
Nollaa siellä pitäisi olla. Aika iso luku tuossa LAN Outissa, mistähän se johtuu? Tyypillisesti Sum(all WAN Ins) = Sum(Lan Out + X). X voi olla esim. iperf-serverin tuottamaa liikennettä LANin sisäisissä nopeustesteissä.
 
Ihan mutuna vetäisin, että johtuisiko siitä tuo LAN Out, että aika paljon siirrellyt tavaraa koneelta nassille (muutamaankin kertaan)? Helppohan tuo olisi testata ja nollata noi tilastot ja kokeilla siirtoja, että kasvaako se noin mahdottomasti, mutta nyt ei kyllä pysty.

Odotellaan, jos jollakulla olisi ollut vastaavaa ja korjausehdotusta vaikka ei tuo missään ole näkynyt, että virheitä on noin paljon. Tuo on 25 päivän tuotos mitä muuri ollut pystyssä.

IoT verkossa on Byte In 1.87 TiB ja Outissa 41.22 GiB. Tiedä sitten miten päin noi menee, mutta IoT verkosta kamerasta tulee tallenteita LAN verkkoon. IoT verkossa Errorit näyttää pyöreätä nollaa.
 
No kamerahan sen selittää. Ilmeisesti kuvassa ei ollut kaikki verkot/interfacet mukana? Voisiko tuohon liittyä huono kaapeli tai suojatun kaapelin puute siellä missä sitä tarvittaisiin.
 
En ottanut kaikia kuvaa, kun en yhtään ajatellut, että voisi siitä johua. Ohessa uusi kuva. 2 kameraa langattomana ja 2 langallista. Kaikilta on pääsy estetty tuosta verkosta ulos. Täytyy kokeilla ottaa vaikka yksitellen kamerasta piuha irti ja katsoa, että loppuuko virheet.

Ulkona on yksi kamera normaali catilla, niin en tiedä voiko siitä jothtua? Ulos olisi varmaan kuitenkin omat cat piuhansa kaiketi.

Annotation 2020-01-06 114943.jpg
 
Ulkona on yksi kamera normaali catilla, niin en tiedä voiko siitä jothtua? Ulos olisi varmaan kuitenkin omat cat piuhansa kaiketi.
Kamera lienee ulkokäyttöön speksattu. Pääasia, ettei vedet valu kaapelia pitkin liittimiin eikä läpivientien suuntaan (tippasilmukat). Ulkokäyttöön tarkoitetut kaapelit lienevät vähän tavallisia paremmin kosteussuojattuja. EMC-suojattujen kaapelien suojavaippaa ei välttämättä tarvita, ellei lähellä satu olemaan jotakin sähkömagneettisia häiriölähteitä. Ukkossuojauksen kannalta suojaamaton voi olla turvallisempikin, kun salama ei johdu niin hyvin rakennukseen.

Virhepakettien osuus on sen verran olematon ainakin toistaiseksi, että ei niistä varmaan mitään huomattavaa haittaa ole tuollaisenakaan.
 
Kamera on ulkokäyttöön ja räystään alla niin ei sadekkaan pääse piiskaamaan. Kiitos vastauksesta! Mennään näillä, kun ei tosiaan mitään ongelmia ole tuon kanssa niin, että olisin huomannut.
 
Päätin antaa pfsenselle vielä mahdollisuuden ja siirsin niin DHCP:n, kuin muutkin piholesta sille.
Nyt en kuitenkaan saa oikein mitään mainoksia blokattua vaikka PfSensessä pyörii pfblockerng ja olen sille läjän listoja antanut blokattavaksi.
Mistähän tuossa nyt lähtisi etsimään vikaa? Statiikan perusteella vain defaulttina ollut easylist sekä pari muuta (nämä kaksi ovat muistaakseni siellä IPv4:n puolella).
Saavat packet kohtaan osumia mutta muut pysyvät nollissa eivätkä mainokset katsoa sivuilta.
 
Päätin antaa pfsenselle vielä mahdollisuuden ja siirsin niin DHCP:n, kuin muutkin piholesta sille.
Nyt en kuitenkaan saa oikein mitään mainoksia blokattua vaikka PfSensessä pyörii pfblockerng ja olen sille läjän listoja antanut blokattavaksi.
Mistähän tuossa nyt lähtisi etsimään vikaa? Statiikan perusteella vain defaulttina ollut easylist sekä pari muuta (nämä kaksi ovat muistaakseni siellä IPv4:n puolella).
Saavat packet kohtaan osumia mutta muut pysyvät nollissa eivätkä mainokset katsoa sivuilta.
Kokeile näillä: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
 

Pitää kokeilla noita kunhan kotia pääsen.

Toinen kysymys liittyy arpwatchiin joka jostain syystä tunkee noin kerran tunnissa sähköpostia clamin enginen vanhuudesta:

"
pfSense.domain.local - Arpwatch Notification : Cron <clamav@pfSense> /usr/local/bin/freshclam --config-file=/usr/local/etc/freshclam.conf


X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin>
X-Cron-Env: <HOME=/nonexistent>
X-Cron-Env: <LOGNAME=clamav>
X-Cron-Env: <USER=clamav>

ClamAV update process started at Tue Jan 7 08:50:00 2020
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.101.2 Recommended version: 0.102.1
DON'T PANIC! Read ClamavNet
main.cld is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
daily.cld is up to date (version: 25686, sigs: 2092279, f-level: 63, builder: raynman)
safebrowsing.cvd is up to date (version: 49191, sigs: 2213119, f-level: 63, builder: google)
bytecode.cld is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)
"

Mitenköhän nuo saisi pois ilman notificationeiden tai arpwatching disablointia?
Saa myös ehdottaa miten pitää clamav päivitettynä.
 
Viimeksi muokattu:
Oletko bootannu laitteen?

Eipä ollut vaikutusta asiaan :-/

Edit: Voisikohan tässä muuten olla syynä se, että sekä is.fi, että iltalehti.fi aukevat molemmat https:llä eikä minulla ole käytössä mitm hässäkkää pfblockerng:ssä?

Edit2: Eikä myöskään mainoksia näyttävistä ohjelmista puhelimessa hävinneet mainokset mihinkään.
 
Viimeksi muokattu:
Onko pfBlockerNG service edes pystyssä?

upload_2020-1-7_18-13-30.png


Tarkista myös tämän asetuksen:

upload_2020-1-7_18-11-54.png

Molemmat ok tuon alemman alta myös TLD enabloituna jos sillä on mitään merkitystä?

Tuolla aikaisemmissa viesteissä oli tällainen:
"IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä."

Ja jos kokeilen tätä osoitetta niin aukeaa Squidin blockaus:
"
The following error was encountered while trying to retrieve the URL: http://185.244.149.206/

Connection to 185.244.149.206 failed.

The system returned: (61) Connection refused"

Joten pitäisikö tämäkin käsittää niin, että IPv4 listat toimivat mutta DNSBL eivät?



Edit:
Pistin samalla OpenVPN:n pystyyn ja saan kännykällä kivasti yhteyden ja Philip Hue valot toimivat tämän yli mutta ei esim. WWW.
 
Viimeksi muokattu:
Taisin löytää syyllisen eli minulla oli DHCP palvelin tarjoilemassa DNS palvelimiksi OpenDNS:n palvelimia ja nyt vaihdoin niiden tilalle tämän pfsense purkin IP:n jonka jälkeen tuntuu pelittävän paremmin.
Samalla korjaantui aikaisemmin mainitsemani OpenVPN ongelma kännykässä.
 
Taisin löytää syyllisen eli minulla oli DHCP palvelin tarjoilemassa DNS palvelimiksi OpenDNS:n palvelimia ja nyt vaihdoin niiden tilalle tämän pfsense purkin IP:n jonka jälkeen tuntuu pelittävän paremmin.
Samalla korjaantui aikaisemmin mainitsemani OpenVPN ongelma kännykässä.
Omassa purkissa oli ollut ihan sama ongelma blockerin toimimattomuuden kanssa, ja tuolla ohjeella sain äsken myös korjattua sen. :tup:

Mutta edessä on kuitenkin sama ainainen murheenkryyni, miten saan vaihdettua sen DNS:n johonkin toiseen? Asian kanssa on tullut tapeltua lukemattomia tunteja ja kokeillut kymmeniä eri ohjeita tuloksetta.
 
Miten saan jotenkin yleisellä tasolla pfBlockerNG tunkemasta väliin omaa certtiään https-sivuille, ilman listan/listojen puukotusta, tai niiden sivujen lisäämistä yksi kerrallaan Whitelistiin?

Nyt on tällänen ongelma, joka tulee esiin aina välillä joidenki https:ää (esim. What’s New in GeoIP2 « MaxMind Developer Site ) käyttävien sivustojen kanssa:
Errori_1.JPG
Certti:
Errori_2.JPG

[edit] Llisätään nyt samaan syssyyn tääkin ihmetys, jolle en tiä mitä pitäis tehdä
Eli pfSense ilmoittelee tällästä virhettä:
Koodi:
There were error(s) loading the rules: /tmp/rules.debug:35: cannot define table pfB_PRI2_v4: Cannot allocate memory - The line in question reads [35]: table &lt;pfB_PRI2_v4&gt; persist file &quot;/var/db/aliastables/pfB_PRI2_v4.txt&quot;
@ 2019-12-23 14:37:32
Mulla oli vastaava ongelma erään estolistan kanssa. Kyseessä on siis "false positive"-esto. Syyllisen listan löydät pfBlockerNG:n Alerts-näkymästä:

(Scrollaa alas DNSBL-otsikon kohdalle)

upload_2020-1-8_12-13-38.png


Kannattaa harkita näitä: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?) listoja ja ottaa kaikki muut pois, ellei niiden käytölle ole jotain varsinaista syytä.
 
Tulipahan samalla, kun tämän kanssa alkoi taas värkkäämään niin siirrettyä pfSense kone UPSin ja NASsien kanssa samaan paikkaan (Ja oli ihan paikallaankin saada samalla noin kolme vuotta sitten tehdystä pfsense asennuksesta ja sen jälkeen rauhassa pyörineestä koneesta pölyt pois :-D).

Mutta sitten taas lisää selviteltävää:
- UPS asentus apcupsd/nut:lla ihan kivasti mutta saisikohan tuon UPS:n statuksen jaettua esim. SNMP:llä NAS:lle?
- ArpWatch lähettelee yhä kerran tunnissa ClamAV:sta sähköpostia mitenköhän sen saisi pois?
 
Mikä muuten tuon GEO IP:n idea on ? Blockata maittain/mantereittain yhteyksiä ? Vai kenties vain näyttää mistä maasta yhteyksiä on tai on blokkailtu?
 
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä? En ole käytössä huomannut mitään, mutta tuo luku nousee pikkuhiljaa. Yritin kytkimestä katsella myös porttikohtaisia virheitä, mutta ei osunut silmään mitään epäilyttävää. Joskokaan en välttämättä osaa edes oikein katsoa.

En ole seurannut aiheuttaako mahdollisesti VPN client käyttö koneella tuota vai mikä... Mutta kysytään täältä, jos joku on törmännyt vastaavaan.

Annotation 2020-01-05 201037.jpg

tuommonen sattu silmään.
pfsense and high latency. Need Help : HomeServer
upload_2020-1-12_10-2-1.png

Hardware — Troubleshooting Lost Traffic or Disappearing Packets | pfSense Documentation

Mikä muuten tuon GEO IP:n idea on ? Blockata maittain/mantereittain yhteyksiä ? Vai kenties vain näyttää mistä maasta yhteyksiä on tai on blokkailtu?

Niin, mutta siellä on myös erillinen spammerilista.

Omassa purkissa oli ollut ihan sama ongelma blockerin toimimattomuuden kanssa, ja tuolla ohjeella sain äsken myös korjattua sen. :tup:

Mutta edessä on kuitenkin sama ainainen murheenkryyni, miten saan vaihdettua sen DNS:n johonkin toiseen? Asian kanssa on tullut tapeltua lukemattomia tunteja ja kokeillut kymmeniä eri ohjeita tuloksetta.

Entä jos käytät System-> General Setup -> DNS , eikä Services -> DHCP server kohdassa laita mitään dns palvelinta.
 
Viimeksi muokattu:
Olen nyt saanut igmp proxyn toimintaan ja iptv toimii multicastina. Netistä löytyneillä ohjeilla pääsin alkuun, kun sain kanavat näkymään niin olen kiristellyt wan palomuurisääntöjä igmp liikenteen osalta, nyt on sallittuna vain 224.0.0.1/224.0.0.2/224.0.0.22 .

Nyt tulee kuitenkin vielä liikennettä osoitteisiin 224.0.0.251 sekä 239.255.250.250 nämä estetään palomuurissa, eikä haittaa iptv toimintaa.

Onko tuolla 251 loppuiselle mdns osoitteelle tarvetta sallia wan kautta sisään vai onko se turhaa?
 
Niin kumpaankos suuntaan toi 251 on estetty? Onko se sun sisäverkosta ulospäin vai sun sisäverkkoon internetistä.
 
Niin kumpaankos suuntaan toi 251 on estetty? Onko se sun sisäverkosta ulospäin vai sun sisäverkkoon internetistä.

Ulkoverkosta eli wan sisään tuohon 224.0.0.251, osoite josta niitä yrityksiä tulee on oma julkinen ip.

Onko mahdollista, että se on tuon igmp proxyn toimintaa eli kuuluisi asiaan? Chromecast löytyy sisäverkosta ja se käyttää mdns jonka osoite on juuri tuo 224.0.0.251. Tuo toinen osoite 239.255.250.250 liittyy luultavasti vahvistimen toimintoihin, en vain tiedä, että mihin se sitä tarvitsee, koska nettiradio toimii unicastina.
 
Viimeksi muokattu:
Mitenkäs saisi estettyä pfsense tai pfblockerng avulla VPN (F-Secure jne) yms. muut salatut yhteydet joilla yritetään ohittaa pfsensen ja pfblockerng avulla tehtyä suoajus?
 
Porttien/IP:n perusteella noita yhteyksiä voi estää, mutta jos joku oikeasti haluaa ohittaa palomuurin, niin sille ei oikein mahda minkään. VPN:n saa tarvittaessa kulkemaan vaikka SSH:n yli tai HTTPS liikenteeksi naamioituna, eikä ainakaan jälkimmäistä voida lähteä estämään. "Ongelma" on niin perinpohjainen, etteivät edes valtiolliset tahot kykene estämään kansalaisiaan käyttämästä VPN:ää valtion palomuurin kiertämiseen.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
257 549
Viestejä
4 476 629
Jäsenet
73 955
Uusin jäsen
Laiska007

Hinta.fi

Back
Ylös Bottom