Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Liittynyt
24.12.2016
Viestejä
578
Mitä käytätte bufferbloatin torjuntaan Pfsensessä? Olen tehnyt limiterin jossa on Queue Management Algorithm codel ja Scheduler käytössä on Fq_codel. Tällä bufferbloat muuttuu c luokasta a luokkaan eli suunta on oikea. Ihmetyttä vain tuolla limiter info:ssa, kun näyttää siltä että se tekee packet drop:a, onko se haitallista? Eikö pakettien kuuluisi vain odotella puskurissa ja edetä pienen viiveen kanssa tuolla Fq_codel:lla? Käytän tässä palomuurin säännöissä floatin rulea, jos sillä on merkitystä.
 
Liittynyt
05.12.2016
Viestejä
44
Mitä käytätte bufferbloatin torjuntaan Pfsensessä? Olen tehnyt limiterin jossa on Queue Management Algorithm codel ja Scheduler käytössä on Fq_codel. Tällä bufferbloat muuttuu c luokasta a luokkaan eli suunta on oikea. Ihmetyttä vain tuolla limiter info:ssa, kun näyttää siltä että se tekee packet drop:a, onko se haitallista? Eikö pakettien kuuluisi vain odotella puskurissa ja edetä pienen viiveen kanssa tuolla Fq_codel:lla? Käytän tässä palomuurin säännöissä floatin rulea, jos sillä on merkitystä.
Sama setuppi täällä ja pääsin packet dropista eroon kuristamalla upload limiteriä pienemmäksi (noin 1-2 Mbit alhaisemmaksi todellisesta upload-nopeudesta).
 
Liittynyt
24.12.2016
Viestejä
578
Sama setuppi täällä ja pääsin packet dropista eroon kuristamalla upload limiteriä pienemmäksi (noin 1-2 Mbit alhaisemmaksi todellisesta upload-nopeudesta).
Tätä pelkäsinkin, adsl liittymän 0.6Mbps up kaistasta on hankala vähentää.

Onko jokin muu ratkaisu parempi vai jatkanko tällä? Tcp liikenteelle ei ole niin haitallista, mutta jos udp paketit tippuu niin saattaa tulla ongelmia.

Lisään vielä, että mitään käytännön ongelmia ei ole ollut, ainoastaan limiter info:ssa näyttää tulevan packet drop, mikäli oikein tulkitsen. Dsl reports testissä ei ole kuitenkaan yhtään packet drop:a ja quality on A.

Eilen oli verkko kuormituksen alla, 2 verkkopeliä pc ja ps4 sekä iptv käytössä, ei ongelmia millään laitteella vaikka koko kaista oli käytössä.
 
Viimeksi muokattu:
Liittynyt
31.07.2017
Viestejä
1 531
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
Käänteinen palomuurisääntö ”estä kaikki IP:t paitsi mainitun”.
 
Liittynyt
29.10.2016
Viestejä
4 067
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
En ole itse vielä kun testaillu erillisessä verkossa ohjelmiston toimivuutta.
mutta eikö vlan nimenomaan automaattisesti estä liikenteen eri vlan verkkoon ilman varsinaista estämistä.
Mutta säännöillä (rules) viimeistään pitäisi esto luonnistua. Source vlan oma verkko eikä lan

Tuossa on yksi verkkoliitäntä ja vlanit on virtuaalisia, sulla varmaan voi määrittää suoran vlanin porttiin jos niitä enemmän.
Interfaces -> Assigments ->VLANs voi lisätä vlanit.
Jos olen pihalla niin vasta itse yritän ottaa ohjelmaa käyttöön.
En pääse testaamaan ennen kuin kotiverkon käyttö rauhoittuu ja voi rauhassa sekoittaa ja kokeilla juttuja.
Huom. tuo intel wlan ei toimi, kun vain atheros kortit on tuettuja.
upload_2019-12-22_15-52-5.png


upload_2019-12-22_15-55-26.png

upload_2019-12-22_16-0-49.png
 
Viimeksi muokattu:
Liittynyt
26.02.2019
Viestejä
2 443
Ideana olisi perustaa oma vlan verkko virtuaalikoneille josta olisi pääsy ainoastaan internetiin eikä muihin vlan-verkkoihin ja palomuurin interfaceihin. Tutkin pfSensen palomuurisääntöjä eikä suoraan näytä olevan vaihtoehtoa jolla sallittaisiin tietystä verkkoliitännästä liikenne vain gatewayhyn. Miten tuon toteuttaisi järkevästi?
Kuten tuossa aikaisemmin mainittiinkin, niin käänteinen sääntö ja Aliaksilla pelaaminen. En ole tätä aikaisemmin muurien kanssa pelannut, mutta kaipasin itsekin myös, kun tätä testailin, että olisi suoraan reitti sallittu ulos eikä tällain kikkailemalla.

Itse olen tuolle IoT verkolle tehnyt myös aliakset muutamalle IP osoitteelle mitkä pääsevät ulos. Muuten kaikki muu on blokattuna ja jos haluaa koko verkon, niin pistää sourceen sen koko verkon, niin ei tarvitse aliaksien kanssa pelata.

Kun tuota invert matchia käyttää, niin kaikkialle muualle nyt liikenne sallittu paitsi sinne mitä löytyy Aliaksesta.

Annotation 2019-12-22 163402.jpg Annotation2 2019-12-22 163402.jpg
 
Liittynyt
27.12.2018
Viestejä
2 378
Liittynyt
24.12.2016
Viestejä
578
Joo homma on edennyt.. telkku näkyy kohta joka kanavalta. Mielenkiintoista miten monesta eri osoitteesta iptv:n dataa tulee, riippuen mitä kanavaa katsoo. Osa ip-osoitteista näyttää olevan oman operaatorin osa viittaa Alands Telekommunikation Ab:hen. Melkoista kokeilua ollut mutta nyt homma alkaa olla voiton puolella ;)

Suurin ongelma oli kun ei tiennyt oikeita osoitteita mitä laittaa tuohon igmp proxyn wan -puolelle.
Voitko kertoa mitä osoitteita olet laittanut tuohon igmp proxyn wan puolelle?

Aiemmin sanoin, että elisa viihde toimii ilman säätöä, mutta huomasin olevani väärässä. Unicast toimii hyvin kuten aiemmin sanoin, mutta multicast ei.
Nyt haluaisin mielenkiinnon ja harjoituksen vuoksi saada tuon multicast liikenteen toimimaan.

Netistä löytyy jotain ohjeita, mutta en ole oikein varma, että uskaltaako niitä noudattaa.
 

a85

Liittynyt
24.10.2016
Viestejä
1 009
Tätä pelkäsinkin, adsl liittymän 0.6Mbps up kaistasta on hankala vähentää.

Onko jokin muu ratkaisu parempi vai jatkanko tällä? Tcp liikenteelle ei ole niin haitallista, mutta jos udp paketit tippuu niin saattaa tulla ongelmia.

Lisään vielä, että mitään käytännön ongelmia ei ole ollut, ainoastaan limiter info:ssa näyttää tulevan packet drop, mikäli oikein tulkitsen. Dsl reports testissä ei ole kuitenkaan yhtään packet drop:a ja quality on A.

Eilen oli verkko kuormituksen alla, 2 verkkopeliä pc ja ps4 sekä iptv käytössä, ei ongelmia millään laitteella vaikka koko kaista oli käytössä.
Tuo bufferbloatti on hieman haastavampaa kun on 4G yhteydet käytössä, paljon liikennettä ja ruuhkaiset tukiasemat. Onko tuohon muuta ratkaisua kuin kuristaa kaista johonkin 5mbps jotta ruuhkautumiset ei jumita tuota koko queue systeemiä?

BTW pitäisikö limiter infossa näkyä kaikki ip-osoitteet joista/joihin on yhteydet auki?
 
Liittynyt
29.10.2016
Viestejä
4 067
Viimeksi muokattu:
Liittynyt
24.12.2016
Viestejä
578
Onko tähän igmp proxyn käyttämiseen vinkkejä? En saa sitä toimimaan, vaikka olen seurannut ohjeita, jotain elämää saan elisaviihteen packer captureen, igmp liikennettä nettiin, mutta kuvaa ei tule ja boksi lähettää igmp v2 leave ilmoituksen.

Mitä palomuuri sääntöjä pitää luoda, että tuo voisi toimia? Palomuuri ei näytä estävän liikennettä, mutta onko jotain jota en huomaa?

Multicast toimii jos laitan viihde boksin elisan reitittimeen kiinni.
 

A Lake Elk

BANNATTU
BANNED
Liittynyt
12.11.2019
Viestejä
1 443
Miten saan jotenkin yleisellä tasolla pfBlockerNG tunkemasta väliin omaa certtiään https-sivuille, ilman listan/listojen puukotusta, tai niiden sivujen lisäämistä yksi kerrallaan Whitelistiin?

Nyt on tällänen ongelma, joka tulee esiin aina välillä joidenki https:ää (esim. What’s New in GeoIP2 « MaxMind Developer Site ) käyttävien sivustojen kanssa:
Errori_1.JPG
Certti:
Errori_2.JPG

[edit] Llisätään nyt samaan syssyyn tääkin ihmetys, jolle en tiä mitä pitäis tehdä
Eli pfSense ilmoittelee tällästä virhettä:
Koodi:
There were error(s) loading the rules: /tmp/rules.debug:35: cannot define table pfB_PRI2_v4: Cannot allocate memory - The line in question reads [35]: table <pfB_PRI2_v4> persist file "/var/db/aliastables/pfB_PRI2_v4.txt"
@ 2019-12-23 14:37:32
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Jos käyttää geoip tietokantaa niin tietokanta pitää rekisteröidä, uusi pfblockerng tulee lähipäivinä.

Feature #10141: pfBlockerNG - MaxMind License Registration - pfSense Packages - pfSense bugtracker

e. taitaa se sittenki olla käytössä, en ole varma onko oletuksena.
Itse rekisteröin tällä Temp Mail - kertakäyttöinen väliaikainen - anonyymi sähköposti
Tuossa ohjeet pfBlockerNG MaxMind Registration required to continue to use the GeoIP functionality!
Versio pfBlockerNG-devel 2.2.5_28 ilmestyi eilen.
pfBlockerNG MaxMind Registration required to continue to use the GeoIP functionality!
 
Liittynyt
30.10.2016
Viestejä
1 669
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?
 

Kosm

Tukijäsen
Liittynyt
20.10.2016
Viestejä
1 015
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?
Olen yrittänyt itse tuota kanssa joskus selvitellä ja vastaus taisi olla että DNS Resolverin kehittäjien pitäisi tehä jotain lisätoiminnallisuutta mikä ei heille kovin iso prioriteetti ole. Saat kyllä näkyviin kaikki DNS pyynnöt laittamalla lokitusleveliä tasolle 3 tai yli DNS Resolverista ja seuraamalla niitä mutta eipä siitäkään näe esimerkiksi jo blokattuja requesteja tai muuta sellaista mitä PiHole todella kivasti näyttää. Tuo on yksi syy miksi välillä tekee mieli palata PiHoleen mutta itsellä oli sen kanssa jostain syystä kummallista käytöstä wifi tukiaseman kanssa, ei nimittäin toiminut wifi tukiasemassa olevien laitteiden kautta se blockaus vaikka käyttivätkin sen DNS serveriä..
 
Liittynyt
27.12.2018
Viestejä
2 378
Itsellä Pfsense pyörinyt jonkun aikaa ja nyt otin pfblockerNG:nkin ajoon kun aiemmin Pihole-käytössä ollut Raspi menee toisaalle. Mitenkä pfblockerista näkee/saa päälle query login jotta näkee kaikki DNS-pyynnöt? Uusien softien kohdalla mielelläni katson, että miten soittelevat kotiin. Pitääkö erikseen pistää joku DNS-query-lokitus päälle pfsensestä vai?
Riippuu vähän verkkokonfiguraatiostasi ja pfSensen konffista. Jos esim. DNS Resolver on käytössä, sen logitustasoa voi säätää. Samoin pfBlockerNG:ssä lienee jotain.

Kätevintä on ehkä kuitenkin käyttää Diagnostics / Packet Capturea. Siellä esim. Interface = LAN, Protocol UDP, Host Address = tutkittava client, Port 53 (tai 853), Level of detail = Medium. Sitten Start ja Stop, kun pyyntöjä pitäisi olla logissa. Tässä esimerkkinä query "novell2.com", .2.87 on client ja .2.6 on pf (A = IPv4, AAAA = IPv6):
Koodi:
23:09:23.443512 IP (tos 0x0, ttl 64, id 59662, offset 0, flags [DF], proto UDP (17), length 68)
    192.168.2.87.46105 > 192.168.2.6.53: 23429+ [1au] A? novell2.com. (40)
23:09:23.443792 IP (tos 0x0, ttl 64, id 59663, offset 0, flags [DF], proto UDP (17), length 68)
    192.168.2.87.34186 > 192.168.2.6.53: 51797+ [1au] AAAA? novell2.com. (40)
 
Liittynyt
26.02.2019
Viestejä
2 443
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä? En ole käytössä huomannut mitään, mutta tuo luku nousee pikkuhiljaa. Yritin kytkimestä katsella myös porttikohtaisia virheitä, mutta ei osunut silmään mitään epäilyttävää. Joskokaan en välttämättä osaa edes oikein katsoa.

En ole seurannut aiheuttaako mahdollisesti VPN client käyttö koneella tuota vai mikä... Mutta kysytään täältä, jos joku on törmännyt vastaavaan.

Annotation 2020-01-05 201037.jpg
 
Liittynyt
27.12.2018
Viestejä
2 378
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä?
Nollaa siellä pitäisi olla. Aika iso luku tuossa LAN Outissa, mistähän se johtuu? Tyypillisesti Sum(all WAN Ins) = Sum(Lan Out + X). X voi olla esim. iperf-serverin tuottamaa liikennettä LANin sisäisissä nopeustesteissä.
 
Liittynyt
26.02.2019
Viestejä
2 443
Ihan mutuna vetäisin, että johtuisiko siitä tuo LAN Out, että aika paljon siirrellyt tavaraa koneelta nassille (muutamaankin kertaan)? Helppohan tuo olisi testata ja nollata noi tilastot ja kokeilla siirtoja, että kasvaako se noin mahdottomasti, mutta nyt ei kyllä pysty.

Odotellaan, jos jollakulla olisi ollut vastaavaa ja korjausehdotusta vaikka ei tuo missään ole näkynyt, että virheitä on noin paljon. Tuo on 25 päivän tuotos mitä muuri ollut pystyssä.

IoT verkossa on Byte In 1.87 TiB ja Outissa 41.22 GiB. Tiedä sitten miten päin noi menee, mutta IoT verkosta kamerasta tulee tallenteita LAN verkkoon. IoT verkossa Errorit näyttää pyöreätä nollaa.
 
Liittynyt
27.12.2018
Viestejä
2 378
No kamerahan sen selittää. Ilmeisesti kuvassa ei ollut kaikki verkot/interfacet mukana? Voisiko tuohon liittyä huono kaapeli tai suojatun kaapelin puute siellä missä sitä tarvittaisiin.
 
Liittynyt
26.02.2019
Viestejä
2 443
En ottanut kaikia kuvaa, kun en yhtään ajatellut, että voisi siitä johua. Ohessa uusi kuva. 2 kameraa langattomana ja 2 langallista. Kaikilta on pääsy estetty tuosta verkosta ulos. Täytyy kokeilla ottaa vaikka yksitellen kamerasta piuha irti ja katsoa, että loppuuko virheet.

Ulkona on yksi kamera normaali catilla, niin en tiedä voiko siitä jothtua? Ulos olisi varmaan kuitenkin omat cat piuhansa kaiketi.

Annotation 2020-01-06 114943.jpg
 
Liittynyt
27.12.2018
Viestejä
2 378
Ulkona on yksi kamera normaali catilla, niin en tiedä voiko siitä jothtua? Ulos olisi varmaan kuitenkin omat cat piuhansa kaiketi.
Kamera lienee ulkokäyttöön speksattu. Pääasia, ettei vedet valu kaapelia pitkin liittimiin eikä läpivientien suuntaan (tippasilmukat). Ulkokäyttöön tarkoitetut kaapelit lienevät vähän tavallisia paremmin kosteussuojattuja. EMC-suojattujen kaapelien suojavaippaa ei välttämättä tarvita, ellei lähellä satu olemaan jotakin sähkömagneettisia häiriölähteitä. Ukkossuojauksen kannalta suojaamaton voi olla turvallisempikin, kun salama ei johdu niin hyvin rakennukseen.

Virhepakettien osuus on sen verran olematon ainakin toistaiseksi, että ei niistä varmaan mitään huomattavaa haittaa ole tuollaisenakaan.
 
Liittynyt
26.02.2019
Viestejä
2 443
Kamera on ulkokäyttöön ja räystään alla niin ei sadekkaan pääse piiskaamaan. Kiitos vastauksesta! Mennään näillä, kun ei tosiaan mitään ongelmia ole tuon kanssa niin, että olisin huomannut.
 
Liittynyt
19.10.2016
Viestejä
242
Päätin antaa pfsenselle vielä mahdollisuuden ja siirsin niin DHCP:n, kuin muutkin piholesta sille.
Nyt en kuitenkaan saa oikein mitään mainoksia blokattua vaikka PfSensessä pyörii pfblockerng ja olen sille läjän listoja antanut blokattavaksi.
Mistähän tuossa nyt lähtisi etsimään vikaa? Statiikan perusteella vain defaulttina ollut easylist sekä pari muuta (nämä kaksi ovat muistaakseni siellä IPv4:n puolella).
Saavat packet kohtaan osumia mutta muut pysyvät nollissa eivätkä mainokset katsoa sivuilta.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Päätin antaa pfsenselle vielä mahdollisuuden ja siirsin niin DHCP:n, kuin muutkin piholesta sille.
Nyt en kuitenkaan saa oikein mitään mainoksia blokattua vaikka PfSensessä pyörii pfblockerng ja olen sille läjän listoja antanut blokattavaksi.
Mistähän tuossa nyt lähtisi etsimään vikaa? Statiikan perusteella vain defaulttina ollut easylist sekä pari muuta (nämä kaksi ovat muistaakseni siellä IPv4:n puolella).
Saavat packet kohtaan osumia mutta muut pysyvät nollissa eivätkä mainokset katsoa sivuilta.
Kokeile näillä: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
 
Liittynyt
19.10.2016
Viestejä
242
Pitää kokeilla noita kunhan kotia pääsen.

Toinen kysymys liittyy arpwatchiin joka jostain syystä tunkee noin kerran tunnissa sähköpostia clamin enginen vanhuudesta:

"
pfSense.domain.local - Arpwatch Notification : Cron <clamav@pfSense> /usr/local/bin/freshclam --config-file=/usr/local/etc/freshclam.conf


X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin>
X-Cron-Env: <HOME=/nonexistent>
X-Cron-Env: <LOGNAME=clamav>
X-Cron-Env: <USER=clamav>

ClamAV update process started at Tue Jan 7 08:50:00 2020
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.101.2 Recommended version: 0.102.1
DON'T PANIC! Read ClamavNet
main.cld is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
daily.cld is up to date (version: 25686, sigs: 2092279, f-level: 63, builder: raynman)
safebrowsing.cvd is up to date (version: 49191, sigs: 2213119, f-level: 63, builder: google)
bytecode.cld is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)
"

Mitenköhän nuo saisi pois ilman notificationeiden tai arpwatching disablointia?
Saa myös ehdottaa miten pitää clamav päivitettynä.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
242
Oletko bootannu laitteen?
Eipä ollut vaikutusta asiaan :-/

Edit: Voisikohan tässä muuten olla syynä se, että sekä is.fi, että iltalehti.fi aukevat molemmat https:llä eikä minulla ole käytössä mitm hässäkkää pfblockerng:ssä?

Edit2: Eikä myöskään mainoksia näyttävistä ohjelmista puhelimessa hävinneet mainokset mihinkään.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
242
Onko pfBlockerNG service edes pystyssä?



Tarkista myös tämän asetuksen:

Molemmat ok tuon alemman alta myös TLD enabloituna jos sillä on mitään merkitystä?

Tuolla aikaisemmissa viesteissä oli tällainen:
"IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä."

Ja jos kokeilen tätä osoitetta niin aukeaa Squidin blockaus:
"
The following error was encountered while trying to retrieve the URL: http://185.244.149.206/

Connection to 185.244.149.206 failed.

The system returned: (61) Connection refused"

Joten pitäisikö tämäkin käsittää niin, että IPv4 listat toimivat mutta DNSBL eivät?



Edit:
Pistin samalla OpenVPN:n pystyyn ja saan kännykällä kivasti yhteyden ja Philip Hue valot toimivat tämän yli mutta ei esim. WWW.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
242
Taisin löytää syyllisen eli minulla oli DHCP palvelin tarjoilemassa DNS palvelimiksi OpenDNS:n palvelimia ja nyt vaihdoin niiden tilalle tämän pfsense purkin IP:n jonka jälkeen tuntuu pelittävän paremmin.
Samalla korjaantui aikaisemmin mainitsemani OpenVPN ongelma kännykässä.
 
Liittynyt
07.07.2017
Viestejä
525
Taisin löytää syyllisen eli minulla oli DHCP palvelin tarjoilemassa DNS palvelimiksi OpenDNS:n palvelimia ja nyt vaihdoin niiden tilalle tämän pfsense purkin IP:n jonka jälkeen tuntuu pelittävän paremmin.
Samalla korjaantui aikaisemmin mainitsemani OpenVPN ongelma kännykässä.
Omassa purkissa oli ollut ihan sama ongelma blockerin toimimattomuuden kanssa, ja tuolla ohjeella sain äsken myös korjattua sen. :tup:

Mutta edessä on kuitenkin sama ainainen murheenkryyni, miten saan vaihdettua sen DNS:n johonkin toiseen? Asian kanssa on tullut tapeltua lukemattomia tunteja ja kokeillut kymmeniä eri ohjeita tuloksetta.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Miten saan jotenkin yleisellä tasolla pfBlockerNG tunkemasta väliin omaa certtiään https-sivuille, ilman listan/listojen puukotusta, tai niiden sivujen lisäämistä yksi kerrallaan Whitelistiin?

Nyt on tällänen ongelma, joka tulee esiin aina välillä joidenki https:ää (esim. What’s New in GeoIP2 « MaxMind Developer Site ) käyttävien sivustojen kanssa:

Certti:


[edit] Llisätään nyt samaan syssyyn tääkin ihmetys, jolle en tiä mitä pitäis tehdä
Eli pfSense ilmoittelee tällästä virhettä:
Koodi:
There were error(s) loading the rules: /tmp/rules.debug:35: cannot define table pfB_PRI2_v4: Cannot allocate memory - The line in question reads [35]: table &lt;pfB_PRI2_v4&gt; persist file &quot;/var/db/aliastables/pfB_PRI2_v4.txt&quot;
@ 2019-12-23 14:37:32
Mulla oli vastaava ongelma erään estolistan kanssa. Kyseessä on siis "false positive"-esto. Syyllisen listan löydät pfBlockerNG:n Alerts-näkymästä:

(Scrollaa alas DNSBL-otsikon kohdalle)

upload_2020-1-8_12-13-38.png


Kannattaa harkita näitä: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?) listoja ja ottaa kaikki muut pois, ellei niiden käytölle ole jotain varsinaista syytä.
 
Liittynyt
19.10.2016
Viestejä
242
Tulipahan samalla, kun tämän kanssa alkoi taas värkkäämään niin siirrettyä pfSense kone UPSin ja NASsien kanssa samaan paikkaan (Ja oli ihan paikallaankin saada samalla noin kolme vuotta sitten tehdystä pfsense asennuksesta ja sen jälkeen rauhassa pyörineestä koneesta pölyt pois :-D).

Mutta sitten taas lisää selviteltävää:
- UPS asentus apcupsd/nut:lla ihan kivasti mutta saisikohan tuon UPS:n statuksen jaettua esim. SNMP:llä NAS:lle?
- ArpWatch lähettelee yhä kerran tunnissa ClamAV:sta sähköpostia mitenköhän sen saisi pois?
 
Liittynyt
03.12.2016
Viestejä
807
Mikä muuten tuon GEO IP:n idea on ? Blockata maittain/mantereittain yhteyksiä ? Vai kenties vain näyttää mistä maasta yhteyksiä on tai on blokkailtu?
 
Liittynyt
29.10.2016
Viestejä
4 067
Onko noilla Error In (LAN verkossa) luvuilla mitään merkitystä? En ole käytössä huomannut mitään, mutta tuo luku nousee pikkuhiljaa. Yritin kytkimestä katsella myös porttikohtaisia virheitä, mutta ei osunut silmään mitään epäilyttävää. Joskokaan en välttämättä osaa edes oikein katsoa.

En ole seurannut aiheuttaako mahdollisesti VPN client käyttö koneella tuota vai mikä... Mutta kysytään täältä, jos joku on törmännyt vastaavaan.

tuommonen sattu silmään.
pfsense and high latency. Need Help : HomeServer
upload_2020-1-12_10-2-1.png

Hardware — Troubleshooting Lost Traffic or Disappearing Packets | pfSense Documentation

Mikä muuten tuon GEO IP:n idea on ? Blockata maittain/mantereittain yhteyksiä ? Vai kenties vain näyttää mistä maasta yhteyksiä on tai on blokkailtu?
Niin, mutta siellä on myös erillinen spammerilista.

Omassa purkissa oli ollut ihan sama ongelma blockerin toimimattomuuden kanssa, ja tuolla ohjeella sain äsken myös korjattua sen. :tup:

Mutta edessä on kuitenkin sama ainainen murheenkryyni, miten saan vaihdettua sen DNS:n johonkin toiseen? Asian kanssa on tullut tapeltua lukemattomia tunteja ja kokeillut kymmeniä eri ohjeita tuloksetta.
Entä jos käytät System-> General Setup -> DNS , eikä Services -> DHCP server kohdassa laita mitään dns palvelinta.
 
Viimeksi muokattu:
Liittynyt
24.12.2016
Viestejä
578
Olen nyt saanut igmp proxyn toimintaan ja iptv toimii multicastina. Netistä löytyneillä ohjeilla pääsin alkuun, kun sain kanavat näkymään niin olen kiristellyt wan palomuurisääntöjä igmp liikenteen osalta, nyt on sallittuna vain 224.0.0.1/224.0.0.2/224.0.0.22 .

Nyt tulee kuitenkin vielä liikennettä osoitteisiin 224.0.0.251 sekä 239.255.250.250 nämä estetään palomuurissa, eikä haittaa iptv toimintaa.

Onko tuolla 251 loppuiselle mdns osoitteelle tarvetta sallia wan kautta sisään vai onko se turhaa?
 
Liittynyt
03.05.2018
Viestejä
3 165
Niin kumpaankos suuntaan toi 251 on estetty? Onko se sun sisäverkosta ulospäin vai sun sisäverkkoon internetistä.
 
Liittynyt
24.12.2016
Viestejä
578
Niin kumpaankos suuntaan toi 251 on estetty? Onko se sun sisäverkosta ulospäin vai sun sisäverkkoon internetistä.
Ulkoverkosta eli wan sisään tuohon 224.0.0.251, osoite josta niitä yrityksiä tulee on oma julkinen ip.

Onko mahdollista, että se on tuon igmp proxyn toimintaa eli kuuluisi asiaan? Chromecast löytyy sisäverkosta ja se käyttää mdns jonka osoite on juuri tuo 224.0.0.251. Tuo toinen osoite 239.255.250.250 liittyy luultavasti vahvistimen toimintoihin, en vain tiedä, että mihin se sitä tarvitsee, koska nettiradio toimii unicastina.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
242
Mitenkäs saisi estettyä pfsense tai pfblockerng avulla VPN (F-Secure jne) yms. muut salatut yhteydet joilla yritetään ohittaa pfsensen ja pfblockerng avulla tehtyä suoajus?
 
Liittynyt
07.07.2017
Viestejä
525
Porttien/IP:n perusteella noita yhteyksiä voi estää, mutta jos joku oikeasti haluaa ohittaa palomuurin, niin sille ei oikein mahda minkään. VPN:n saa tarvittaessa kulkemaan vaikka SSH:n yli tai HTTPS liikenteeksi naamioituna, eikä ainakaan jälkimmäistä voida lähteä estämään. "Ongelma" on niin perinpohjainen, etteivät edes valtiolliset tahot kykene estämään kansalaisiaan käyttämästä VPN:ää valtion palomuurin kiertämiseen.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 473
Viestejä
4 163 414
Jäsenet
70 414
Uusin jäsen
O&G

Hinta.fi

Ylös Bottom