Olyan érzésem van, mintha a vodafon csekkolni akarná a hálózatomat csak nem sikerül neki.

Szerintem sz.rd le! Kívülről próbálkozik valaki/valami, de a tűzfalad blokkolja. Ennyi. Amúgy megnéztem abuseipdb-n, nem kompromittálódott a cím.

Ha támadásnak érzékeled akkor bár nem jutottak be én akkor is tiltanám, egyrészt Firewall-Rules-Wan alatt egy blocking rule, hogy beírod az IP címet a Source alá, másrészt nálam van egy Floating Rules is any direction-al, ott a Destination alá beírva a címet.
Amennyiben tele vagy listákkal érdemes Aliasban gondolkodni, mint pl. URL Table https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/cn.cidr amivel pl. teljes Kínát blokollod folyamatosan frissített listával, vagy teljes Russia https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/ru.cidr ,és ezeket betudod vonni egy csoport alá is ha Network Group választod Aliason belül és az új blokkalandó Aliasokat mindig csak ezen belül bepipálod, ilyenkor nyilván elég egy szabályt hoznod WAN és Floating Rules alatt és ott a Network Group Aliasod nevét megadnod, én így használom. De lehet Aliast arra is használ, ha pl. kinyitsz egy portot VPN miatt, és csinálsz egy szabályt rá, hogy csak magyar IP-ről lehessen elérni. (block invert source https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/hu.cidr és a VPN destination port)

[ Szerkesztve ]

Ezeket megpróbálom beállítani.
Most abba hagyta a próbálkozásokat. Egyre jobban tetszik a opnsense!
A régi routeremen fel sem tűnt, hogy ennyien próbálkoznak betámadni!

A bejövő próbálkozásokat már nem is log-olom. Csak azokat, amik LAN-ból kifele mennek gyanús címekre.

Okés, csak én most nem blocklistát adtam neked, hanem full államokat, amiket megtalálsz https://github.com/herrbischoff/country-ip-blocks
ipv4 mappa alatt, persze ettől lehet tiltani ezeket még, aztán ha floating alatt is tiltod, akkor onnantól pingelni se tudod majd egyiket sem.
De ha pl. felteszed a Maltrailt, az is csinál egy blocklistát, amire neked vagy külön tűzfalszabályt kell hoznod, vagy van egy Network Group Aliasod, korábban meghoztad rá a tűzfalszabályt és csak bepipálod az általa generált Aliast, mint tiltandó.
Nálam még CrowdSec van telepítve, Zenarmor, illetve vannak Unbound alatt Blocklisták, pl. az adguardé is, ha nem fontos a felület, nem kell külön telepítgetni, csak kiválasztod Services-Unbound DNS-Blocklist szekció alatt, amelyik lista neked szimpi.
Zenarmor-ra én elő is fizettem mert hasznosnak találom, vannak érdekes szűrései mobiloknál mind xiaomi mind apple irányba is, de ehhez erősebbb gép kell. Egy ryzen 5800-as procival szerelt mini pc-t rendeltem aliról 190e körüli áron, de végül valahogy annyiba se került. Proxmox szervert raktam rá, azon át fut az OPNsense, eleinte elég meleg vót a kisgép, de biosba ki tudtam kapcsolni a turbos részét, így elég hűvős és halk is, így tudja nálam 1600-1900Mbit körül lefele (az ezres netem.. olyan jól sikerült a NAT alól kivétel, hogy azóta 2000/1000 net van ).
De amiért le is írtam mindezt, hogy sokkal kevesebb próbálkozást látok a tűzfalon, amióta ezeket beállítottam/használom, persze nálad is azért fogni fogja a dolgokat, csak tudom azért idegesítő lehet, ha teletojja a logot valami.

A Zenarmor nekem is fent van igaz free-ben.
Egy videó alapján sikerült Aliases- be beállítani a geoip listát és bepipálni a blokkolandó országokat.
Még használom az adguardot is régen a homeassistanton futott, levettem róla a terhet.
Be van kapcsolva, be van állítva az Intrusion Detection is bár nem tudom van-e értelme!?
A CrowdSec -et felraktam nem próbáltam még! Van értelme használni?

"A bejövő próbálkozásokat már nem is log-olom." hát lehet, hogy nekem sem kéne mert csak stresszelem magamat vele ha látom, hogy megint próbálkoznak.

Crowdsec-et szerintem akkor érdemes használni ha van valami publikus nyitott portod kifelé és az azt maceráló botokat akarod tiltani.
Tehát bepróbálkozik az adott portra az alkalmazásba egy kínai bot, bedob egy rossz jelszót, a crowdsec kliens olvassa az adott alkalmazás logját, és egyből bedobja a feketelistára aminek az alias listáját a *sense rendszeres időnként frissíti (+ a crowdsec közösség IP feketelistája). Ergo 1-2 bad pw próbálkozás után már megy is banhammer. Fail2ban is hasonló csak ott nincs közösség mögötte.

Én az alábbi cikk alapján döntöttem el mit szeretnék használni, szerintem gyorsan meg lehet érteni: https://homenetworkguy.com/how-to/install-and-configure-crowdsec-on-opnsense/
Az országokat célszerű külön aliasokba szedni, pl. nálam drop_russia, drop_china, és az említett network group aliassal hozol egy fő aliast ami alatt ki tudod venni is a pipát azon ország alias alól, amit valamiért engedned kell, pl. az aliespress kezdő oldalát nem tiltja, viszont utána boltokra szűrve vannak akadások már, ilyenkor vagy átmenetileg kiveszed a pipát drop_china alól, vagy van egy böngészős proxyd vagy vpn-ed amire ráállsz ilyenkor. Nekem bár dual optikám van, de sosem torrenteznék itthoni címmel, ultra.cc van előfizum (legolcsóbb aminél már Plex is van), ahhoz van proxy is, openvpn is, de wireguard is amit pofon egyszerű beállít és nem lassú, mértem is egyet gyorsan vpn-en: [link]

Ha nem üzemeltetsz pl. weboldalt, akkor nem kell foglalkozni vele. Ha van olyan szolgáltatásod, amit kintről el kell érni bárkinek, akkor lehet szűrni országra, stb.
Amúgy alapból a tűzfal mindent dobni fog, ami nem egy bentről indult kérésre válaszként érkezik. Ezért felesleges további szabályokat erre hozzáadni.
De ha van a lanodnak publikus része, akkor kell szuttyogni....

Zenarmort macerásnak találtam, a free-ben nem nagyon lehet állítgatni, visszatértem az unbound+AGH (csak black/whitelist van ezen) kombóra. IPS is csak a logokat növelte, nem is volt stabil anno, nem tudom, h ez változott-e.

A Zenarmornak még a free változata is nagyon hasznos. A “kifele pofázásokat” hatékonyan szűri. DNS szűréssel (NextDNS) kombinálva szinte teljesen reklámmentes vagyok. Sikerült - többek között a Zenarmornak köszönhetően is - egy elég kellemes hálózati állapotot összehozni. A mobilomat is az otthoni routeremen keresztül használom.

Nálam arra az AGH-van (WinDos-on még tinywall, a VM-ekben meg host tiltóba rakom, ha valamit nagyon erőltetnek), Zenarmor mellett még Unbound-ba is kellettek szűrők. Volt pár beállítás, amit csak groupolva engedetta a free.

ONPSense 21.1.11 van most használatban. Lenne frissítés 23.7. valamikor augusztus környékén már próbáltam, de teljes összeomlás volt a frissítés következménye, így hál istennek a frissítés elött készült lemezképet visszaállítva maradtam a régi rendszeren.
Van tapasztalat, hogy a 23.7 hogy megy, meg lehet próbálni frissíteni? Egyáltalán érdemes?

Szia!
Nálam a frissítéssel sem volt para. Elvileg voltak gondok, de hamar jött pár patch.
Érdemes-e frissíteni? Megolvasod itt és itt, majd eldöntöd... Nem mondhatom, h valami látványosan jobb lett, annyira nem értek a lelkéhez. Kicsit lassan indul, talán az UI gyorsabb, pár dolgot még most is hiányolok...
Amúgy nem 22. akármid van?

...és miközben ezt írtam, meg is jött az újabb frissítés.

[ Szerkesztve ]

Ez van most a firmware update-nél. De akkor ezek szerint rendbe rakták. Nálam a gond akkor volt, amikor kijött. Homeoffice mellett az üzembiztonság a fontos, nem a naprakészség. Mondjuk ezért csinálok teljes lemez mentést minden nagyobb frissítés elött.
A lobbi:

Teljesen jogos érv.
Megvallom, h mikor mondták, h jön, akkor vártam pár napot, mert olvastam, h unbound-al voltak bajok és én is azt használom. Mikor jött az első patch, akkor frissítettem, hiba nélkül szerencsére. Backup is van, a sajátját kikapcsoltam, mert nekem is egyszerűbb a pár napos VM-et visszatenni, ha kell. Asszem heti 2 vagy 3 mentést készít a PVE és 3-4-et tart meg, nem is tudom, szerencsére nem sokszor kell.

Akkor jövő hétvégén csinálok egy mentést és frissítek, ezek szerint volt foltozás rendesen.

Most 23.7.8 van fent két gépen. Sajnos a wireguard vacakol nem stabil a kapcsolat.
Mintha meg meg szakadna a kapcsolat. Előző verziókkal nem volt gond.

Köszi, akkor várok, én használom a wiregaurdot.