Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

pfBlockerNG päivittyi viime yönä:

Notes before Upgrading:

As always, take a config backup.

The regression that caused unbound not to restart after Updates has been addressed by Christian McDonald from Netgate.

Ensure that "Keep Settings" is checked in the General Tab.

Recommended to run a "Force Reload - All" after pkg installation.

Changelog:

- Add "application/json" to list of allowed file download mime-types

- Remove validation for paths in URL validations.

- Add dash as an allowed character in Whois/TLD customlist settings

- Add workaround for .ZIP compressed files. Will now validate ZIP files contents after extraction as opposed to beforehand.

- Fix regression with ASN/Whois File downloads

- Fix regression for the extraction of MaxMind MMDB database file

- Increase DNSBL max domain count for 32GB Ram installs.

- Fix Advanced Inbound/Outbound Port definition regression not saving properly

- Fix DNSBL and IP Counter clearing for the Widget

- Fix Alerts Tab - Dark mode colour options missing in some cases

- Fix Alerts Tab - Page Refresh on/off not saving correctly

Notes after upgrade:

There is a lot more validation on user inputs. Any input errors should be visible in the GUI on Save, and also in the error.log.

If you see any issues post in Reddit or on the pfSense Forums for resolution.

URLs are validated to ensure they resolve, and downloads are limited to specific mime-types (basically text only).

URL schemes are limited to http, https, rsync and ftp

Compressed downloads are reviewed before extracting to ensure the contents of the compression pass file-mime specifics

Download error logging improved

Mahdollisesti päivitysten yhteydessä kaatuva Unbound-palvelu on nyt korjattu Netgaten devaajan toimesta.

 
Viimeksi muokattu:
pfBlockerNG päivittyi viime yönä:



Mahdollisesti päivitysten yhteydessä kaatuva Unbound-palvelu on nyt korjattu Netgaten devaajan toimesta.


Ajoin päivityksen ja ei kaatunut Unbound. DNSBL tosin ei lähtenyt oikein käyntiin vaan täytyy ajaa tuo Reload All. Tämä tosin taitaa olla tarpeellista vaan jos käyttää sitä Python-tilaa.

Asiasta toiseen, onko täällä APU2 käyttäjiä 1 Gbps liittymillä? Vaihtui tänään liittymä tuollaiseen ja saan tuosta maksimissaan 730 Mbps irti. Teklagerin sivuilla oli joku ohje missä oli temppuja millä on vanhempaan pfSensen versioon saanut 1 Gbps nopeudet mutta siellä luki että ei enää tarvitse tehdä niitä vaan vakiona pitäisi toimia. Minulla on pfSense plus 22.05 käytössä. Ei ole käytössä mitään traffic shaping/qos juttuja eikä muutakaan mikä hidastaisi reitittämistä.
 
Viimeksi muokattu:
Ajoin päivityksen ja ei kaatunut Unbound. DNSBL tosin ei lähtenyt oikein käyntiin vaan täytyy ajaa tuo Reload All. Tämä tosin taitaa olla tarpeellista vaan jos käyttää sitä Python-tilaa.

Asiasta toiseen, onko täällä APU2 käyttäjiä 1 Gbps liittymillä? Vaihtui tänään liittymä tuollaiseen ja saan tuosta maksimissaan 730 Mbps irti. Teklagerin sivuilla oli joku ohje missä oli temppuja millä on vanhempaan pfSensen versioon saanut 1 Gbps nopeudet mutta siellä luki että ei enää tarvitse tehdä niitä vaan vakiona pitäisi toimia. Minulla on pfSense plus 22.05 käytössä. Ei ole käytössä mitään traffic shaping/qos juttuja eikä muutakaan mikä hidastaisi reitittämistä.

APU2 jäi sivuun juuri siksi, ettei se vaan taivu gigan liittymään pfSensellä (tai ainakaan en itse lukuisista yrityksistä huolimatta saanut taipumaan).

Täällä aika hyvää infoa aiheesta:

Ja copypastena vielä linkin takaa

Interestingly, pfSense 2.5.0 can route only about 590Mbit/s on a single cpu core. There was some degradation of performance in 2.5.0. If I find a way to tweak it in the future, I'll update this article.

Operating system Single Connection Multiple Connections
pfSense 2.4.5 (with tweaks) 750 Mbit/s 1 Gbit/s
pfSense 2.5.0 (no tweaks required) 590 Mbit/s 1 Gbit/s
OpenWRT 1 Gbit/s 1 Gbit/s
 
Tuli tänään näköjään jo uusi versio tuosta pfBlockerNG:stä, eli versio v3.1.0_10 päivittyi versioon 3.1.0_11.

[edit] Päivitys meni ok, vailitti ainoastaan olevan epäsynkassa, eli piti listat päivittää, sen jälkeen kaikki ok.
 
Asiasta toiseen, onko täällä APU2 käyttäjiä 1 Gbps liittymillä? Vaihtui tänään liittymä tuollaiseen ja saan tuosta maksimissaan 730 Mbps irti. Teklagerin sivuilla oli joku ohje missä oli temppuja millä on vanhempaan pfSensen versioon saanut 1 Gbps nopeudet mutta siellä luki että ei enää tarvitse tehdä niitä vaan vakiona pitäisi toimia. Minulla on pfSense plus 22.05 käytössä. Ei ole käytössä mitään traffic shaping/qos juttuja eikä muutakaan mikä hidastaisi reitittämistä.
Yllättävän hyvinhän tuo jaksaa vääntää ottaen huomioon miten hitaasta cpu:sta on kyse. Passmarkissa 266 pistetä single thread ja 645 multi thread kun esimerkiksi melkein 10 vuotta vanha aikanaan näissä DIY-reitittimissä käytetty Celeron J1900 vastaavat 650 / 1143. Toki J1900:ssa ei ole AES-NI:tä, mutta se nyt vaikuta kuin lähinnä VPN:ään.
 
Yllättävän hyvinhän tuo jaksaa vääntää ottaen huomioon miten hitaasta cpu:sta on kyse. Passmarkissa 266 pistetä single thread ja 645 multi thread kun esimerkiksi melkein 10 vuotta vanha aikanaan näissä DIY-reitittimissä käytetty Celeron J1900 vastaavat 650 / 1143. Toki J1900:ssa ei ole AES-NI:tä, mutta se nyt vaikuta kuin lähinnä VPN:ään.

Jep tämän tuhnu suorituskyky oli tiedossa aikana kun kuvittelin etten gigaista nettiä tule ottamaan. Tutkin uusimpia rautasuosituksia ja tämä vaikuttaisi olevan tällä hetkellä paras laitos minun käyttöön alle 300 euron hintaluokassa: 194.93€ 15% OFF|Upgrade I226-v N5105/n6005 V5 Softroute Mini-host Pve/esxi Fansless Energy Saving Pc Affordable Edition. - Barebone & Mini Pc - AliExpress

ServeTheHomen puolella pitkä ketju täynnä kokemuksia näistä laitteista joita myydään monella eri brändillä mutta tuo CWWK on noiden alkuperäinen valmistaja ja heidän sivuiltaan löytyy bios-päivityksetkin näihin toisin kun muilta merkeiltä. Moderni 10 nanometrin Celeron N5105 jaksaa 1 Gbps nopeudet vaikka Wireguardin yli ja tuosta löytyisi 2.5 Gbps portitkin.
 
Tein kivuliaita, epäeettisiä, ja turhia eläinkokeita omalla (alkupään) APU2 -purkillani. Muistia omassa purkissani on vaatimattomat 2GB, BIOS on 4.17.0.3, ja prossuna AMD GX-412TC SOC.
Purkissa oli testien aikaan konffi sisällä, mm. 5 eri verkkoa ja LAN- sekä WAN- sääntöjä. nTop on myös.
Halusin lähinnä testata kuinka pitkälle tämä purkki kantaa konffi sisällä, koska siitä tässä ollaan nyt keskusteltu.
Testissä sisäverkon teki FortiGaten rautamuuri, jossa 1000 Mbps linkit kaikkiin portteihin. Yksi WAN ja 4 kpl LAN.

Fyysinen layer meni:





D:\Temp\iperf-3.1.3-win64\iperf-3.1.3-win64>iperf3.exe -c 192.168.1.111 -R
Connecting to host 192.168.1.111, port 5201
Reverse mode, remote host 192.168.1.111 is sending
[ 4] local xxxxx port 59732 connected to 192.168.1.111 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 39.1 MBytes 328 Mbits/sec
[ 4] 1.00-2.00 sec 38.3 MBytes 321 Mbits/sec
[ 4] 2.00-3.00 sec 38.1 MBytes 320 Mbits/sec
[ 4] 3.00-4.00 sec 38.0 MBytes 319 Mbits/sec
[ 4] 4.00-5.00 sec 38.3 MBytes 321 Mbits/sec
[ 4] 5.00-6.00 sec 38.2 MBytes 321 Mbits/sec
[ 4] 6.00-7.00 sec 38.4 MBytes 322 Mbits/sec
[ 4] 7.00-8.00 sec 38.2 MBytes 320 Mbits/sec
[ 4] 8.00-9.00 sec 37.4 MBytes 314 Mbits/sec
[ 4] 9.00-10.00 sec 38.5 MBytes 323 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 383 MBytes 321 Mbits/sec sender
[ 4] 0.00-10.00 sec 383 MBytes 321 Mbits/sec receiver

iperf Done.

D:\Temp\iperf-3.1.3-win64\iperf-3.1.3-win64>iperf3.exe -c 192.168.1.111
Connecting to host 192.168.1.111, port 5201
[ 4] local xxxx port 60097 connected to 192.168.1.111 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 39.4 MBytes 330 Mbits/sec
[ 4] 1.00-2.00 sec 49.1 MBytes 413 Mbits/sec
[ 4] 2.00-3.00 sec 49.4 MBytes 414 Mbits/sec
[ 4] 3.00-4.00 sec 49.6 MBytes 416 Mbits/sec
[ 4] 4.00-5.00 sec 48.1 MBytes 405 Mbits/sec
[ 4] 5.00-6.00 sec 49.5 MBytes 414 Mbits/sec
[ 4] 6.00-7.00 sec 49.4 MBytes 415 Mbits/sec
[ 4] 7.00-8.00 sec 61.0 MBytes 512 Mbits/sec
[ 4] 8.00-9.00 sec 62.1 MBytes 521 Mbits/sec
[ 4] 9.00-10.00 sec 62.2 MBytes 522 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 520 MBytes 436 Mbits/sec sender
[ 4] 0.00-10.00 sec 520 MBytes 436 Mbits/sec receiver

iperf Done.

Eli kumpaankin suuntaan tehty testi iPerf3:lla. Kärsii siis ottaa 300 Mbps netin, jos haluaa täyden hyödyn irti. Sitä nopeammissa nopeuksissa täytyy hommata tehokkaampi laite.
 
Viimeksi muokattu:
Näköjään ei toimi enää failover WAN pfsensessä sen jälkeen kun päivitin 2.6 CE -> 22.05 plus. Ilmeisesti ongelma on siinä, että gateway ei mene offline-tilaan. Verkkokaapelin kun nyppäisee pois se jää "Pending / Pending / Unkown" tilaan, status ei muutu offlineksi ja pfsense yrittää väkisin pitää sitä default gatewayna. Yritetty tehdä uudelleen Gateway group mutta ei vaikutusta. Onko muilla tullut vastaan? Ideoita miksei gateway mene offline?

WAN kaapelimodeemi:

1674471603581.png


WAN2 4G-gateway:

1674471644305.png


Gateway Group:

1674471723413.png
 
Hmm, Oliskokohan jotain keinoa pfsensessä blokata youtube shorts -videot kokonaan?

DNSBL Python moden Regexillä pitäisi onnistua kun noissa urleissa näyttää olevan aina /shorts/ keskellä. Itse tyytynyt käyttämään Youtube-shorts block lisäosaa selaimella vaan joka muuttaa ne shortsit pyörimään Youtuben perinteisessä käyttöliittymässä joka riittää minulle ainakin.
 
DNSBL Python moden Regexillä pitäisi onnistua kun noissa urleissa näyttää olevan aina /shorts/ keskellä. Itse tyytynyt käyttämään Youtube-shorts block lisäosaa selaimella vaan joka muuttaa ne shortsit pyörimään Youtuben perinteisessä käyttöliittymässä joka riittää minulle ainakin.

Hmm, mikähän tässä oikein mättää, pistin DNSBL:n unbound python modeen, enabloin Regex blocking ja pistin regexin: .*youtube.*shorts.* mutta ei kyllä pelitä, force reload on tehty.
 
Mulla on kaikki pfsensen takana. Mikähän on vikana kun satunnaisesti Ring ja Chrome Remote Desktop tipahtavat offlineen? Toipuvat aikanaan, mutta voi mennä tunteja, jopa puoli päivää.
 
Mulla on kaikki pfsensen takana. Mikähän on vikana kun satunnaisesti Ring ja Chrome Remote Desktop tipahtavat offlineen? Toipuvat aikanaan, mutta voi mennä tunteja, jopa puoli päivää.

Ja todistettavasti kun eivät ole pfsensen takana niin toimivat?
 
Ja todistettavasti kun eivät ole pfsensen takana niin toimivat?
Ennen pfsensen (pyörii virtuaalikoneessa) asentamista ei ollut ongelmia. Mutta esim. kryptolouhinta (Chia ja HiveOS) toimivat kokoajan normaalisti (ei tiputusta hashrateissa), niin kyse ei voi ole pelkästä nettiliittymä ongelmasta.
Ajattelin illalla siirtää WLAN AP:n, Ring keskusyksikön ja koneen jossa toi Chrome Remote Desktop pyörii pfsensen ulkopuolelle.
Menen suht perusasetuksilla, eikä VLAN:eja ole käytössä.
 
Ennen pfsensen (pyörii virtuaalikoneessa) asentamista ei ollut ongelmia. Mutta esim. kryptolouhinta (Chia ja HiveOS) toimivat kokoajan normaalisti (ei tiputusta hashrateissa), niin kyse ei voi ole pelkästä nettiliittymä ongelmasta.
Ajattelin illalla siirtää WLAN AP:n, Ring keskusyksikön ja koneen jossa toi Chrome Remote Desktop pyörii pfsensen ulkopuolelle.
Menen suht perusasetuksilla, eikä VLAN:eja ole käytössä.
Ei siinä pfsense:ssä ollut mitään vikaa. PC jossa Chrome Remote Desktop oli kaatunut. Ja Ring hälytysjärjestelmän keskusyksikkö veteli viimeisiään, ja aikana säädettyäni se meni ihan pimeäksi. Laitteessa ei palanut mikään valo vaikka oli verkkovirrassa.
 
Näköjään ei toimi enää failover WAN pfsensessä sen jälkeen kun päivitin 2.6 CE -> 22.05 plus. Ilmeisesti ongelma on siinä, että gateway ei mene offline-tilaan. Verkkokaapelin kun nyppäisee pois se jää "Pending / Pending / Unkown" tilaan, status ei muutu offlineksi ja pfsense yrittää väkisin pitää sitä default gatewayna. Yritetty tehdä uudelleen Gateway group mutta ei vaikutusta. Onko muilla tullut vastaan? Ideoita miksei gateway mene offline?

WAN kaapelimodeemi:
WAN2 4G-gateway:
Gateway Group:

Missä tuo status pyörii pending / pending / unknown? Näkyykö pfsensen "etusivulla" interfacet up vai down (vihreä/punainen) statuksessa jos olet nyppäissyt piuhan irti?
 
Missä tuo status pyörii pending / pending / unknown? Näkyykö pfsensen "etusivulla" interfacet up vai down (vihreä/punainen) statuksessa jos olet nyppäissyt piuhan irti?
Etusivulla näkyi tosiaan nuo pending ja unknown gateways widgetissä. Sainkin pfSensen foorumilta vihjettä, että voi tehdä tuota jos verkkokortin ajurit ei toimi kunnolla. Ilmeisesti tuolla Intel i225-V on ongelmia sen uusimman plus version kanssa eikä tunnista kunnolla jos linkki tippuu alas. Interfaceissa ei näy downina linkki vaan ”no carrier” X-merkin kera jos nyppäisee piuhan irti.
 
Mikä on budjettisi? Multa on tänä iltana ilmestymässä video aiheesta, jos eri hintakategorioiden vaihtoehdot kiinnostaa.

No odotellaan sitten videopläjäys ja katsotaan sitten.
ja mitä budjettiin tulee se on mukautuva ;)
Tulossa (toivottavasti routa sulaa nopeasti) valokuitu 1 GB liittymällä ja ajattelin tuon koneen CPU + liitännät riittävät.
 

Topton Jasper Lake Quad i225V Mini PC Report Täällä pitkä keskustelu näistä uusimmista laitoksista, tuohon hintaan saa jo N5005 + i226 laitteita jotka ovat 40% nopeampia kun nuo J4125.

190.23€ 39% OFF|2022 New 11th Gen Pentium N6005 4*intel I225 Nics Nvme 2*ddr4 2.5g Pfsense Router Fanless Mini Pc Opnsense Firewall Vpn Server - Barebone & Mini Pc - AliExpress

Tuossa pari tuolla ketjussa hyväksi todettua mallia. Itse kokeilin vajaa viikko sitten jotain vielä hullumpaa ja tein Alibaban puolelle tilin yksityishenkilönä ja sain sieltä tilauksen Pfsense Firewall N5105 Router 4x I225 I226 2.5g Lan 2xddr4 Nvme Industrial Fanless Mini Pc 4xusb Hd-mi2.0 Opnsense Pve Esxi - Buy Firewall Router N5105 Router,Firewall N5105 Pfsense Router,N5105 Pc N5105 Nics Product on Alibaba.com tämmöiseen läpi. Tuolla nuo ovat vielä reilusti halvempia, hintaa jäi vaan 164 euroa ja konfiguroin tuohon vielä kaikista kalleimmat 16 GB RAM-muistia ja 256 GB NVME levyn. Tuo on tosiaan veroton hinta, ne jos tulee maksettavaksi niin hintaa jää silti vaan 203 euroa. En kyllä voi suositella muille tätä prosessia ainakaan ennen kun saan tuon perille. Alibaba on toisaalta kyllä paljon parempi kun Aliexpress, täällä on muun muassa toimitustakuut joiden ylittyessä saa rahaa takaisin, 24/7 livechatti jota pitikin jo käyttää kun tuli sekoilua tunnuksen kanssa ja muutenkin paljon selkeämmin tietää keneltä on tilaamassa kun näkee oikeasti mikä tehdas on kyseessä.
 
3mdeb, joka on siis tuottanut BIOSsit APU-vehkeisiin, ja PCEngines, joka siis valmistaa APU-laitteet, tiet eroavat.
Uusi partneri on löytynyt, Dasharo. Viestissä väläytellään tilaus-mallia BIOSsille, joka ainakin itselle särähtää pahasti korvaan. Katsotaan nyt, millaiseen yhteistyöhön päätyvät, mutta sekin on tosiasia että noiden APU2 - APU4 -purkkien prosessori jää pullonkaulaksi.


Dear valued PC Engines hardware owners,
We apologize for the delay in our announcement. We understand that many of you
have eagerly awaited the next PC Engines firmware release. Rest assured that
our commitment to supporting the PC Engines firmware remains strong, and we are
working hard to bring you new features through the upcoming Dasharo firmware
distribution. We appreciate your patience and continued support.

We regret to inform the community that v4.17.0.3 [1] was the last version of
the firmware sponsored by PC Engines. However, 3mdeb has since released
v4.19.0.1 [2], the final version delivered to the community using the existing
model.

As some may know, 3mdeb is a small open-source firmware consulting company
based in Poland. Our team consists of passionate engineers and developers from
open-source software, firmware, and hardware communities, frequent conference
speakers, and people who love to tinker with bits. Every day we develop
bleeding-edge low-level security solutions using top open-source frameworks. We
are committed to continuing support and PC Engines hardware in the open-source
firmware community but can't afford that on our dime.

Since February 2016, we have made 87 binary releases for all PC Engines
hardware platforms from apu1 through famous apu2 up to apu7 [3]. We published
over 30k test results from our automated testing framework [4]. Thanks to
community feedback, we created extensive documentation [5]. Our firmware
development effort extended the lifetime value of PC Engines hardware. Most
notable examples were:

- CPU Core Performance Boost feature enabling [6]
- DRAM Error Correction Code enabling [7]
- AMD Cryptographic Coprocessor enabling [8]
- and many small things like a watchdog or SPI flash lockdown.

According to PC Engines EOL statement [9] apu2 / apu3 series availability will be:
"Based on an AMD embedded CPU, this platform should have good long term
availability. This CPU should be available until 2024 according to AMD."

We would like to continue support for PC Engines firmware through our Dasharo
open-source firmware distribution. Further releases could include regular
maintenance updates and new features such as UEFI compatibility, fwupd,
Verified Boot, BIOS setup password, DMA protection, and more. For a complete
list of planned enhancements, please visit the dasharo-issues repository on
GitHub [10].

Your support will play a crucial role in determining the roadmap and the speed
of its implementation. We hope you will support our efforts to bring these new
features and improvements to the PC Engines firmware.

We are exploring the possibility of implementing a subscription model for
firmware updates. We would like to hear from you to ensure that the pricing
option is fair and reasonable for our community. We have created a survey to
gather your thoughts and preferences on pricing. Your feedback is important to
us and will help us make informed decisions about the future of our offerings.
Please take about two minutes to participate in the survey [11]. Your input will be
greatly appreciated.

[1] PC Engines - github pages
[2] PC Engines - github pages
[3] PC Engines - github pages
[4] [PC Engines] Regression test results
[5] apu2 Documentation
[6] Thoughts dereferenced from the scratchpad noise. | How to enable Core Performance Boost on AMD platforms?
[7] Thoughts dereferenced from the scratchpad noise. | Enabling ECC on PC Engines platforms
[8] AMD CCP and TPM as enropy sources · Issue #112 · pcengines/apu2-documentation
[9] PC Engines EOL policy
[10] Issues · Dasharo/dasharo-issues
[11] 3mdeb Survey on post-EoL Firmware for PC Engines apu2

Edit: Korjattu tuottaja <-> BIOSsien valmistaja
 
Viimeksi muokattu:
Mitä tämä tarkoittaa CommuuniEdition-version käyttäjille? Joku free-versio saatavissa tuosta plussasta kotikäyttöön?
CE (Community Edition) on vielä toistaiseksi päivitettävissä ilmaiseksi plus-versioon koti- ja labra-käytössä.
 
CE (Community Edition) on vielä toistaiseksi päivitettävissä ilmaiseksi plus-versioon koti- ja labra-käytössä.
Mielestäni 2.6 CE on myös päivittymässä vastaavaan 2.7 versioon, mutta taitaa tulla jonkunlaisella viiveellä plus-versioon nähden.
 
Mielestäni 2.6 CE on myös päivittymässä vastaavaan 2.7 versioon, mutta taitaa tulla jonkunlaisella viiveellä plus-versioon nähden.
Olen yrittänyt löytää tällaista viestiä, mutta en ole vielä onnistunut. Tuo Plus-versio vaan on siitä vaarallinen, että sen vaatiessa rahaa lisenssiin, kaikki konffikset pitää rakentaa uudelleen johonkin toiseen ja mahdollisesti pikavauhdilla.
 
Pieni huomio, itse olen huomannu että 23.1 / 2.70 version on RC vaiheessa mutta on vielä perusteellisten bugien täyttämä ettei ansaistsisi leimaa RC.
Paljon mahdollista että versio kannattaa päivittää vasta kesällä.
Kannattaa pysyä versiossa 2.6 / 22.05 mahdollisimman pitkään.

Olen yrittänyt löytää tällaista viestiä, mutta en ole vielä onnistunut. Tuo Plus-versio vaan on siitä vaarallinen, että sen vaatiessa rahaa lisenssiin, kaikki konffikset pitää rakentaa uudelleen johonkin toiseen ja mahdollisesti pikavauhdilla.

Aika hyvin vanhemman version voi tuoda myös ristiin.
Tuo conf rev. määrää Releases — Versions of pfSense software and FreeBSD | pfSense Documentation (netgate.com)

Itse olen pitäny eri levyllä toista versiota joten voin tarvittessa nakata toisen version sisäään ongelmien tullessa, toki ei ihan ajan tasaisia ole conffaukset toisella levyllä..
 
Viimeksi muokattu:
Öh, anna esimerkki?
BugTracker antaa tyhjää tiedetyille bugeille.
v3.2.0 python module missing | Netgate Forum

Aika paljon joita ohitellaan olan kohautuksella, toki virallisia ei hirveästi ole, odottaa vain feedbackkiä.
Aiemmissä versiossa on ollu perusasiat paremmin toimivia, tässä on niin monen versio muuttunu yhteensopimattomksi että on vaatinu paljon koodi muutoksia BSD, PHP, Python.
2.6 versiossa on ollu 298 suljettua casea.
2.7 mennään jo 395 eikä vielä loppua näy.
Ne ei aina ole oikeita bugeja , mutta kertoo ongelmien määrästä.

Tapahtumat - pfSense - pfSense bugtracker

1675706878526.png
 
Viimeksi muokattu:
v3.2.0 python module missing | Netgate Forum

Aika paljon joita ohitellaan olan kohautuksella, toki virallisia ei hirveästi ole, odottaa vain feedbackkiä.
Aiemmissä versiossa on ollu perusasiat paremmin toimivia, tässä on niin monen versio muuttunu yhteensopimattomksi että on vaatinu paljon koodi muutoksia BSD, PHP, Python.
2.6 versiossa on ollu 298 suljettua casea.
2.7 mennään jo 395 eikä vielä loppua näy.
Ne ei aina ole oikeita bugeja , mutta kertoo ongelmien määrästä.

Tapahtumat - pfSense - pfSense bugtracker

1675706878526.png
Ei näytä kovin isolta ongelmalta kun kerran jo tuokin korjattu.

Se että jotkin liitännäiset menee rikki kun freebsd yms alusta vaihtuu kertoo vaan siitä ettei liitännäisten kehittäjöt ole seuranneet pfs kehitystä ja testanneet omia koodejaan.

2.7 version tulostahan ei ole mitään tietoa koska se tulee, plus on se mikä saa 23.01 version ja CE sitten joskus kun Netgatea huvittaa.
 
Viimeksi muokattu:
Operaattori väittää minun liittymästäni tulevan porttskannauksia:

Koodi:
> > Olemme havainneet liittymäänne kytketyn tietokoneen tai muun laitteen
> > skannaavan Internetin osoitteita
> > läpi. Toiminnalla pyritään yleensä löytämään ja saastuttamaan verkossa
> > olevia muita haavoittuvia
> > koneita ja laitteita, jolloin koneenne on todennäköisesti myös itse
> > saastunut jollakin
> > haittaohjelmalla. Vaihtoehtoisesti ko. koneeseen/laitteeseen on asennettu
> > jonkinlainen verkkoa tutkiva
> > ohjelmisto ja sen asetukset ovat väärin.
> >
> > Viimeisimmät osoitetta koskevat raportit:
> >
> > 2023-02-02T11:59:58 (GMT+2)     Network scan, 147 hosts, ports:
> TCP:28960,
> > UDP:28960, SrcPort: 35609
> > [80.222.53.xx]
> > 2023-02-02T12:33:07 (GMT+2)     Network scan, 122 hosts, ports:
> TCP:28960,
> > SrcPort: 41237
> > [80.222.53.xx]
> > 2023-02-02T13:49:03 (GMT+2)     Network scan, 113 hosts, ports:
> TCP:28960,
> > SrcPort: 33653
> > [80.222.53.xx]
> > 2023-02-02T15:50:55 (GMT+2)     Network scan, 114 hosts, ports:
> TCP:28960,
> > SrcPort: 13357
> > [80.222.53.xx]
> > 2023-02-02T17:50:56 (GMT+2)     Network scan, 116 hosts, ports:
> TCP:28960,
> > TCP:28968, SrcPort: 52550
> > [80.222.53.xx]
> > 2023-02-02T19:50:55 (GMT+2)     Network scan, 114 hosts, ports:
> TCP:28960,
> > SrcPort: 54661
> > [80.222.53.xx]
> > 2023-02-02T21:51:01 (GMT+2)     Network scan, 123 hosts, ports:
> TCP:28960,
> > SrcPort: 39635
> > [80.222.53.xx]
> > 2023-02-02T23:45:43 (GMT+2)     Network scan, 120 hosts, ports:
> TCP:28960,
> > SrcPort: 29086
> > [80.222.53.xx]
> > 2023-02-03T01:44:10 (GMT+2)     Network scan, 121 hosts, ports:
> TCP:28960,
> > SrcPort: 55033
> > [80.222.53.xx]
> > 2023-02-03T03:56:31 (GMT+2)     Network scan, 114 hosts, ports:
> TCP:28960,
> > SrcPort: 56864
> > [80.222.53.xx]
> > 2023-02-03T05:51:09 (GMT+2)     Network scan, 115 hosts, ports:
> TCP:28960,
> > SrcPort: 1201
> > [80.222.53.xx]
> > 2023-02-03T07:50:58 (GMT+2)     Network scan, 117 hosts, ports:
> TCP:28960,
> > SrcPort: 42915
> > [80.222.53.xx]
> > 2023-02-03T09:49:05 (GMT+2)     Network scan, 108 hosts, ports:
> TCP:28960,
> > SrcPort: 43308
> > [80.222.53.xx]
> > 2023-02-03T13:50:56 (GMT+2)     Network scan, 104 hosts, ports:
> TCP:28960,
> > TCP:28968, SrcPort: 51736
> > [80.222.53.xx]
> >
> > Ryhtykää välittömästi toimiin, jotta saastunut kone/laite saadaan
> > irrotettua verkosta mahdollisimman
> > pian. Useimmissa tapauksissa saastuneet koneet tulisi asentaa
> > täydellisesti uudelleen.
> >
> > Saatte tarvittaessa apua koneen puhdistukseen lähimmästä
> > tietokonehuollostanne tai maksullisesta Telia
> > Helppi -palvelusta, puh. 0600 10 100 ma-pe klo 8-20, la klo 9-16
> > (2,50€/puhelu + 2,50€/alkava min +
> > mpm/pvm), www.telia.fi/helppi.
> >
> > Parhain terveisin,
> > --
> > Security Operations Center
> > Telia Company
Moikka! Skannailut näyttävät jatkuvan. Laitan alle hieman tarkempaa dataa, jos se auttaisi tilanteen selvittämisessä. time proto flags source dir destination pkts bytes plen description / [payload] 2023-02-06T11:31:29+02:00 tcp s 80.222.53.xx:* -> 213.54.135.91:28960 2 148 0 2023-02-06T11:31:43+02:00 tcp s 80.222.53.xx:60010 -> 213.54.167.155:28960 1 74 0 2023-02-06T11:31:57+02:00 tcp s 80.222.53.xx:9781 -> 213.54.216.197:28960 1 74 0 2023-02-06T11:32:02+02:00 tcp s 80.222.53.xx:34950 -> 85.212.249.201:28960 1 74 0 2023-02-06T11:33:48+02:00 tcp s 80.222.53.xx:14293 -> 188.72.87.104:50000 1 74 0 2023-02-06T11:40:59+02:00 tcp s 80.222.53.xx:61648 -> 85.212.27.176:28960 2 148 0 2023-02-06T11:41:14+02:00 tcp s 80.222.53.xx:* -> 213.54.193.99:28960 2 148 0 2023-02-06T11:41:50+02:00 tcp s 80.222.53.xx:* -> 85.212.71.223:28960 2 148 0 2023-02-06T11:41:59+02:00 tcp s 80.222.53.xx:48722 -> 85.212.122.202:28960 1 74 0 2023-02-06T11:42:00+02:00 tcp s 80.222.53.xx:50985 -> 213.54.207.45:28960 1 74 0 Ystävällisin terveisin, --- Security Operations Center Telia Company
Olen estänyt tuon portin 28960 portin LAN- ja WAN-verkoissa pfsensessä. Ilmeisesti source portti muuttuu aina ja source porttia ei järkevästi pysty estämään?

Käytössä on PfSense palomuurina, kolme linux-pannua, kolme raspberrypiitä, roborock S50 valetudo firmwarella ja yksi windows-kone, joka ei ole ollut edes käynnissä kyseisten skannauksien aikaan.
Käytössä on myös pfsensessä HAproxy ja sen kanssa ohjattuna liikenne Jellyfin ja Nextcloud palvelimeen. Backendit toimii http-muodossa ja frontend tarjoaa ssl-salauksen.

Suricatassa on estolistoissa laitettuna päälle kaikki porttiskannaukset estävät listat sisä- ja ulkoverkoissa. Eikä kyseisiin ip-osotteisiin näy mitään estoja. Eikä palomuurin logeissa myöskään näy mitään yhteyksiä kyseisiin ip-osotteisiin.

Asensin Wiresharkin ja olen ottanut talteen verkkoliikennettä, mutta niissä ei näy mitään kyseisiin skannauksiin liittyvää liikennettä.

Voiko tuo olla jokin peilaushyökkäys, jossa palomuuriani tai servereitäni käytetään hyväksi?
 
Onkos IBM:n DB2seen tullu joku uus exploitti kun se käyttää tota 50000 porttia ?
 
Olen. Logeissa ei näy mitään merkkejä tuosta portista. Otin Wiresharkilla pcapin sisäverkon liikenteestä ja siinäkään ei näy mitään tuohon porttiin liittyvää.

Oletko varma että Wiresharkia ajavan koneen verkkointerfaceen tulee kaikki sisäverkon liikenne? Jos välissä on älykkäämpää kytkintä tms, niin ne ei välttämättä kaikkea liikennettä laita niihin portteihin joissa ei sen käsityksen mukaan ole tarvitsijoita, ellei ole jotakin port mirroringia konffattuna.

Kuvittelisin että nappaamalla pfSense-purkin LAN-interfacesta tcpdumpilla kaiken löytyy jos on löytyäkseen. Sitä dumppia voi sitten tutkailla Wiresharkilla.
 
Onko muurin edessä operaattorin aktiivilaitetta? Tiedän yhden tapauksen jossa asiakas sai selvitellä vastaavaa tilannetta itse. Oma reititin vaihtoon, kaikki sisäverkon laitteet pois päältä jne. Aina vaan jatkui skannailut.

Lopulta oli operaattorin oma laite korkattu siitä edestä. Kävivät vaihtamassa..
 
ntopng ja sen geolocation (active network discovery) voivat aiheuttaa tuon skannaus epäilyn
 
Viimeksi muokattu:
Löytyisiköhän täältä apua ongelmaani. Minulla on 4G modeemin (Huawei B715) perässä pfSense läppärissä niin että se käyttää yhtä verkkokorttia ja kytkimessä tehdään VLAN:lla WAN/LAN erotus. Ongelma on se että kun jostain syystä nettiyhteys katkeaa niin palautumisen jälkeen verkko toimii muuten ok mutta OpenVPN yhteyttä en saa enää avattua etänä. Käytän no-ip.com Dynaamista DNS ja se nyt ei ilmeisesti toimi koska ip ei päivity pätkimisen jälkeen. Tosin en saa kyllä yhteyttä avattua vaikka käsin päivitän tuon IP:n kuntoon. Mistähän tuota lähtisi tonkimaan? Systeemi on tietysti vanhempien luona joten loggaaminen etänä hankalaa. Pääsen Zerotier verkon kautta kiinni HA asennukseen joka omassa virtuaalikoneessa Proxmoxin päällä samassa läppärissä missä pfSense mutta en muualle ennen kun taas fyysisesti paikan päällä.
 
Löytyisiköhän täältä apua ongelmaani. Minulla on 4G modeemin (Huawei B715) perässä pfSense läppärissä niin että se käyttää yhtä verkkokorttia ja kytkimessä tehdään VLAN:lla WAN/LAN erotus. Ongelma on se että kun jostain syystä nettiyhteys katkeaa niin palautumisen jälkeen verkko toimii muuten ok mutta OpenVPN yhteyttä en saa enää avattua etänä. Käytän no-ip.com Dynaamista DNS ja se nyt ei ilmeisesti toimi koska ip ei päivity pätkimisen jälkeen. Tosin en saa kyllä yhteyttä avattua vaikka käsin päivitän tuon IP:n kuntoon. Mistähän tuota lähtisi tonkimaan? Systeemi on tietysti vanhempien luona joten loggaaminen etänä hankalaa. Pääsen Zerotier verkon kautta kiinni HA asennukseen joka omassa virtuaalikoneessa Proxmoxin päällä samassa läppärissä missä pfSense mutta en muualle ennen kun taas fyysisesti paikan päällä.
Millä tempuilla se sitten lähtee toimimaan?
Oletettavasti 4G-modeemi on siltaavassa tilassa, ja julkinen IP tulee pfSenselle?
 

Statistiikka

Viestiketjuista
257 839
Viestejä
4 485 391
Jäsenet
74 005
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom