Neue Firewall

Anregungen & Feature Requests
Lorenco
Posts: 127
Joined: September 13th, 2012, 4:02 pm

Re: Neue Firewall

Post by Lorenco » April 28th, 2014, 12:07 pm

Wollte von Beta3 auf den aktuellen RC wechseln.
Ist dort dann dein Fix schon drin? Oder muß ich in den testing tree?

User avatar
copymaster
Core Developer
Core Developer
Posts: 904
Joined: August 7th, 2012, 6:02 am

Re: Neue Firewall

Post by copymaster » April 28th, 2014, 12:18 pm

Welchen Fix meinst du?

Generell ist kein fix drin, denn der RC1 ist ja vom Datum X und alle Änderungen davon liegen nur im GIT

Lorenco
Posts: 127
Joined: September 13th, 2012, 4:02 pm

Re: Neue Firewall

Post by Lorenco » April 28th, 2014, 1:13 pm

Die Änderung am Converter zwei threads zuvor.
Kann ich den dann einfach nochmal laufen lassen?

User avatar
copymaster
Core Developer
Core Developer
Posts: 904
Joined: August 7th, 2012, 6:02 am

Re: Neue Firewall

Post by copymaster » April 28th, 2014, 1:28 pm

Warte doch einfach bis Donnerstag. Hab grad erfahren, dass es dann den RC2 geben wird, da ist die Änderung dann drin.
Also machst Du einfach Donnerstag ein Update auf RC2 und alles ist gut.

Alternativ kannst Du auch die /var/ipfire/firewall/outgoing manuell bearbeiten (Hinterher die Rechte nobody.nobody setzen).

Wenn da sowas drin steht:

2,ACCEPT,OUTGOINGFW,ON,std_net_src,IPFire,std_net_tgt,ALL,,TCP,,,ON,,,TGT_PORT,53,DNS,ON,,on,on,on,on,on,on,on,00:00,00:00,,ALL,,dnat
Dann mach aus:

std_net_src,IPFire

ein:

ipfire_src,RED1

Danach die regeln neu einlesen.

Lorenco
Posts: 127
Joined: September 13th, 2012, 4:02 pm

Re: Neue Firewall

Post by Lorenco » April 28th, 2014, 1:34 pm

Ich warte, kein Problem.

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Neue Firewall

Post by ummeegge » May 1st, 2014, 7:29 am

Sorry für die späte Antwort war unterwegs,

copymaster wrote:Es wäre sehr Hilfreich, wenn Du mal ein Feedback geben würdest, ob die konvertierten Regeln denn funktionieren, ich miene die, wo durch den Konverter "ipfire" drinsteht, die neuen Regeln aber RED1 haben.

Um deinen Fix zu testen fehlt leider das Config File:

Code: Select all

Config file for outgoing-firewall not found. Exiting!

habe es aber mal manuell gefixt, also "std_net_src,IPFire" nach "ipfire_src,RED1" geändert und das sieht bis jetzt gut aus.

- Zugriff von grün auf die DMZ funktioniert nun.

- HTTPS geht mit geschlossener "Ausgehender FW" nun auch.

- Mails auch.

Problem hier war das der Konverter "std_net_src,IPFire" anstatt "ipfire_src,RED1" gesetzt hat.

Grüsse

UE
Image
Image

User avatar
copymaster
Core Developer
Core Developer
Posts: 904
Joined: August 7th, 2012, 6:02 am

Re: Neue Firewall

Post by copymaster » May 1st, 2014, 6:18 pm

Danke für das Feedback. In Kürze kommt ja der RC2, dann sollte das behoben sein.

ostseehuepfer
Posts: 143
Joined: September 16th, 2012, 8:06 pm
Contact:

Re: Neue Firewall

Post by ostseehuepfer » May 1st, 2014, 7:35 pm

Hallo,

kann die neue Firewall auch mit 2 Wan Ports umgehen und mehr als ein grünes Netz verwalten?

Grüße
Image

yero
Posts: 18
Joined: April 6th, 2014, 6:45 pm

Re: Neue Firewall

Post by yero » May 3rd, 2014, 8:54 am

Ich habe gestern die RC2 installiert, also habe eine stabile Version aktualisiert.

Ich führe nach und nach einige Tests durch und bislang kann ich nicht sehen, dass die Datensicherung funktioniert.

Bei mir steht die ganze Zeit in der Übersicht:

Code: Select all

Backup von ipfire-2.13.i586-full-core77.iso Größe 0.00 MB   


Man beachte die 0.00 MB :)

Wie kann ich nun prüfen, ob das nur bei mir so ist oder es sich um ein grundsätzliches Problem mit der RC2 handelt?

Andere Backups funktionieren:

Code: Select all

Backup von 20140502-2334.ipf Größe 15.77 MB


Danke
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 934
Joined: November 2nd, 2011, 12:28 pm

Re: Neue Firewall

Post by FischerM » May 3rd, 2014, 10:55 am

Hi,

solange du mit einer RC-Version arbeitest, ist das IMHO normal.

In der '/usr/local/bin/backupiso' wird versucht, die aktuelle ISO deiner installierten Version zu ziehen - und genau die wird dann mit deinen diversen Einstellungen verknüpft.

In diesem Skript stehen zum jetzigen Zeitpunkt aber noch die alten Einstellungen drin, da es die finale 2.15 noch nicht gibt:

Code: Select all

URL="http://download.ipfire.org/releases/ipfire-2.x/2.13-core$COREVER/"
ISO="ipfire-2.13.i586-full-core$COREVER.iso"


D.h., da wird die vorherige Version (2.13) mit dem auf deinem Rechner laufenden Core (77) verknüpft und daraus wird dann "ipfire-2.13.i586-full-core77.iso". Und die gibt es nicht.

Das wird erst korrigiert/funktionieren, wenn die 2.15er Final raus ist.

HTH
Matthias

User avatar
StefanSchantl
Core Developer
Core Developer
Posts: 822
Joined: December 3rd, 2008, 2:50 pm
Location: Steiermark

Re: Neue Firewall

Post by StefanSchantl » May 3rd, 2014, 11:21 am

ostseehuepfer wrote:Hallo,

kann die neue Firewall auch mit 2 Wan Ports umgehen und mehr als ein grünes Netz verwalten?

Grüße


Hallo ostseehuepfer,

nein, diese Features kommen erst mit IPFire 3 - daran ändert auch die Neue Firewall nix.

mfg

-Stefan

5p9
Mentor
Mentor
Posts: 1842
Joined: May 1st, 2011, 3:27 pm

Re: Neue Firewall

Post by 5p9 » May 3rd, 2014, 2:42 pm

Moin,

mal ne Frage. Die Entropie...gibts da Probleme?

Sehe da unter Hardware-Unterstützung:Dieses System hat keine Entropiequelle.
Random Number Generator Daemon "ANGEHALTEN".

Des Weiteren versuche ich gerade squidclamav zu nutzen. Jedoch wird immer der Testvirus zugelassen. Verstehe ich gerade auch nicht. Gibt da bekannt Probleme damit?

Code: Select all


1399130126.061     25 192.168.x.x TCP_MISS/200 3195 GET http://www.testvirus.de/de/testvirus.html - HIER_DIRECT/88.198.x.x text/html
1399130126.103     22 192.168.x.x TCP_MISS/404 773 GET http://www.testvirus.de/images/_dh10.gif - HIER_DIRECT/88.198.x.x text/html
1399130126.107     27 192.168.x.x TCP_MISS/404 773 GET http://www.testvirus.de/images/_dv70.gif - HIER_DIRECT/88.198.x.x text/html
1399130126.111     30 192.168.x.x TCP_MISS/404 773 GET http://www.testvirus.de/images/_dv600.gif - HIER_DIRECT/88.198.x.x text/html
1399130126.114     29 127.0.0.1 TCP_MISS/200 379 HEAD http://www.webcompas.de/showhits.php? - HIER_DIRECT/88.198.x.x text/html
1399130126.137     55 192.168.x.x TCP_MISS/200 834 GET http://www.webcompas.de/showhits.php? - HIER_DIRECT/88.198.x.x text/html
1399130128.691     22 127.0.0.1 TCP_HIT/200 358 HEAD http://www.testvirus.de/testvirus/eicar.com - HIER_NONE/- application/x-msdos-program
1399130128.691     23 192.168.x.x TCP_MEM_HIT/200 426 GET http://www.testvirus.de/testvirus/eicar.com - HIER_NONE/- application/x-msdos-program


Noch was mir bei der Neuinstallation aufgefallen ist:

Code: Select all

 collectd[1724]: rrdtool plugin: rrd_update_r (/var/log/rrd/collectd/localhost/memory/memory-free.rrd) failed: /var/log/rrd/collectd/localhost/memory/memory-free.rrd: illegal attempt to update using time 1399129624 when last update time is 1399132794 (minimum one second step)


Erhalte überhaupt keine grafischen Daten - Zeit ist aber richtig eingestellt. Ist ein blankes System gewesen. Ganz jungfreulich so zu sagen ;)


VG, 5p9
Last edited by Guest on May 3rd, 2014, 3:18 pm, edited 1 time in total.
Mail Gateway: mail proxy

Image

Image

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Neue Firewall

Post by ummeegge » May 4th, 2014, 8:29 am

Moin 5p9,
habe gerade mal testweise den squidClamav auf der RC2 installiert, nach Installation ging der Virenscann auch nicht (kein Eintrag vom freshclam bzw. clamd im Log). Habe das System dann mal neugestartet und dann gings los mit Update der Viredefinition und die Eicar Testviren *.com, *.zip, ... hat er auch erkannt

Code: Select all

May  4 09:47:15 ipfire-server clamd[2219]: ELF support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: Mail files support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: OLE2 support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: PDF support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: SWF support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: HTML support enabled.
May  4 09:47:15 ipfire-server clamd[2219]: Self checking every 600 seconds.
May  4 09:48:31 ipfire-server clamd[2219]: instream(local): Eicar-Test-Signature FOUND
May  4 09:51:43 ipfire-server clamd[2219]: instream(local): Eicar-Test-Signature FOUND
May  4 09:52:39 ipfire-server clamd[2219]: instream(local): Eicar-Test-Signature FOUND
May  4 09:52:50 ipfire-server clamd[2219]: instream(local): Eicar-Test-Signature FOUND
May  4 10:03:02 ipfire-server clamd[2219]: No stats for Database check - forcing reload
May  4 10:03:03 ipfire-server clamd[2219]: Reading databases from /usr/share/clamav
May  4 10:03:45 ipfire-server clamd[2219]: Database correctly reloaded (3346658 signatures)
May  4 10:13:45 ipfire-server clamd[2219]: SelfCheck: Database status OK.

EDIT 2: Die OSSEC Mail sieht übrigens so aus :D

Code: Select all

OSSEC HIDS Notification.
2014 May 04 09:55:50

Received From: (IPFire_JNC9C) 192.168.212.13->/var/log/messages
Rule: 52502 fired (level 8) -> "Virus detected"
Portion of the log(s):

May  4 09:52:50 ipfire-server clamd[2219]: instream(local): Eicar-Test-Signature FOUND



--END OF NOTIFICATION

gibt es Einträge im Log bei dir für freshclam bzw. clamd ?

Entropy: Hier werden nur HWRNG´s angezeigt soweit ich weiss, auf meinem ALIX (Screenshoot hängt anbei) findet rngd auch alles, wenn du keinen HWRNG hast dann gibt es für rngd auch nicht soviel zu tun (siehe /etc/init.d/rngd).
Wieviel Entropy zu Verfügung steht kannst du dir mit dem Skript mal anschauen.

Code: Select all

#!/bin/bash -

while (true)
do
  echo `date` entropy_avail is `cat /proc/sys/kernel/random/entropy_avail`
  sleep 1
done


Erstmal nur zu den beiden Punkten.
EDIT: Magst du mal einen RC2 Thread aufmachen (gibt es glaub ich noch gar nicht), ist hier doch eher der Firewall Bereich  ;) .

Grüsse

UE
Last edited by ummeegge on May 4th, 2014, 9:10 am, edited 1 time in total.
Image
Image

5p9
Mentor
Mentor
Posts: 1842
Joined: May 1st, 2011, 3:27 pm

Re: Neue Firewall

Post by 5p9 » May 10th, 2014, 8:49 am

Hi ummeegge,

danke. Hier http://forum.ipfire.org/http://forum.ipfire.org//viewtopic.php?t=0 der Post für RC2.

Will auch OSSEC Mail! Verdammt.
Komm nur gerade nicht mit meiner dovecot-installation klar :(
Hab hier aber ne recht gute Anleitunge gefunden - mal sehen ob die etwas bringt.
http://www.stefan-seelmann.de/wiki/mail ... ix-dovecot

VG, 5p9
Mail Gateway: mail proxy

Image

Image

Locked