*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
"Webproxy" (meinst Du squid?) abschalten, zwei vlans aufsetzen, eines davon nicht nach draussen lassen ausser auf bestimmte Firewall aliases und das andere frei nach draussen lassen aber nur nach Authentifizierung über FreeRadius schiene mir eine Möglichkeit, wie es funktionieren könnte.Ziel alles was nicht freigegebene oder mittels Authentifizierung (lokal DB) ins WAN möchte soll geblockt werden.
Ja das ist squid. Warum sollte ich kein squid benutzen? Mit dem und ein Paar Firewall Regeln habe ich eigentlich schon fast alles am Laufen. Nur das Erstellen von funktionsfähigen aliases für *.domain.de Domains klappt nicht. Das war vor gut 10 Jahren schon mit einer Cisco ASA möglich…"Webproxy" (meinst Du squid?) abschalten, zwei vlans aufsetzen, eines davon nicht nach draussen lassen ausser auf bestimmte Firewall aliases und das andere frei nach draussen lassen aber nur nach Authentifizierung über FreeRadius schiene mir eine Möglichkeit, wie es funktionieren könnte.
Der ist gut.Vermutlich schiesst Du aber mit Atomraketen auf einen eingebildeten Schwarm Spatzen ...
Genau da kommt die Proxy Anmeldung ins Spiel. Die Anwendung muss sich erst authentifizieren, bevor sie rauskommt. Die Zugangsdaten werden selbstverständlich nicht gespeichert. Wenn du im MS Browser die Proxy Anmeldung speicherst kommen diverse Anwendungen dadurch automatisch auch raus…Ob das damit mehr Sicherheit bietet? - und wer sagt, das Excel selber der Prozess ist, der die Daten nachlädt?
Wie aktuell sind den diese blocklisten der Botnetze? Zum Beispiel die verdächtigen Mailanhänge erkennen in der Regel maximal 4 Scanner bei Virustotal. Meistens sende ich die Dateien als verdächtig zu einigen Hersteller. Zu 99% werden die Dateien innerhalb eines Tages dann auch von diesen erkannt. Daher wage ich zu bezweifeln das die Blocklisten aktuell genug sind. Als zusätzlicher Schutz ist das aber sicherlich gut. Muss ich mir demnächst mal anschauen. Danke für den Tipp.Sinnvoller finde ich es hier, konsequent die Botnetze zu blockieren - dazu gibt es ja auch genügend Filter.
Mit Punkt klappt leider auch nicht. Danke für den link.ich find die ganz ok.
hast Du es mal nur mit Punkt Domain probiert, also ohne Stern?
ansonsten, ne, ich hab das selber in meiner Sense noch nicht probiert.
Ich nutze diese Liste https://feodotracker.abuse.ch/browse
Das fürchte ich auch. Naja mal sehen ob ich noch etwas finde.Ist halt eher ein Feature für das Firmenumfeld und wird hier vermutlich niemand was zu sagen können.
Pfadkosten haben mit der Erkennung des Loops nix zu tun.Du kannst LACP verwenden weil die zwei Switches als cluster laufen, bei zwei separaten Switches komme ich mit LACP wohl nicht weiter.
Ich vermute wenn ich einen simplen Switch als Access Switch verwende würde ich mir wohl ein loop bauen.
Ich bin mit RSTP nicht 100% fit, kann ich das Loop mit Kosten für den pfad an den zwei Core Switches abfedern?
Oder habe ich einen Denkfehler?
Klar alle Szenarien kann ich nicht abfedern, aber das mit dem Upgraden kommt bei MikroTik halt öfters mal vor.
Beitrag automatisch zusammengeführt:
Ich habs grade probiert mit einem "Switch" es klappt sogar. Vielen dank für die Inspiration.
Ehrlichgesagt fehlte das schon in pf/OPNSense seit Anbeginn. Aber Zeit ist geduldig und die meisten Entwickler und User hatten oft vor 5-6 Jahren nichtmal IPv6 oder nutzten Tunnelbroker für den Zugang.Lief bei mir auch problemlos durch. Hyper-V Nutzer sollten aber wohl noch warten: https://twitter.com/opnsense/status/1486976769819353088
Für mich bisher geilste Neuerung: Unterstützung von dynamic IPv6 Hosts als Alias: https://docs.opnsense.org/manual/aliases.html#dynamic-ipv6-host
pfSense hat schon etwas ähnliches, wobei das glaube ich kein richtiger Alias ist und daher nicht ganz mit der o.g. Lösung mithalten kann. Was aber schon seit längerem geht, ist die Vergabe des Hosts-Parts mittels DHCPv6, dann brauch man sich da auch keine Gedanken mehr machen.
Womit pfSense wiederum Probleme hat ist, wenn die Fritzbox als Router davor den Prefix wechselt, das bekommt die Sense dann leider nicht mit. 👺
On the flip side major operating system changes bear risk for regression and feature removal, e.g. ... switching the Realtek vendor driver back to its FreeBSD counterpart which does not yet support the newer 2.5G models.