OPNSense NAT-Regeln dynamisch generieren

[CoMo]

Hallo,

Ich würde gerne auf meiner OPNSense NAT-Regeln dynamisch generieren lassen. Konkret:

Meine OPNSense bezieht eine Liste von IP-Adressen über ein Alias (alle 3 Minuten). Alle IP-Adressen aus diesem Alias werden über eine Reject-Regel abgewiesen.

Nun möchte ich aber, dass diese Reject Regel entweder nur eine bestimmte Zeit lang greift oder eine bestimmte Anzahl abgelehnter Verbindungsversuche. Sobald dieser "Zähler" erreicht ist, soll stattdessen eine NAT-Regel greifen, die den Traffic per Portweiterleitung an eine andere Maschine weiterleitet.

Eine Idee, wie das auf der OPNSense umsetzbar ist?

 

[IBISXI]

In die API hast Du schon reingeschaut?
Damit kannst Du diverse Sachen auslesen bzw. steuern.

https://docs.opnsense.org/development/api.html

 

[Bob.Dig]

nur eine bestimmte Zeit lang greift

Du kannst Schedules einrichten und in Firewall-Regeln nutzen. Mit irgendwelchen APIs habe ich mich noch nie beschäftigt.
Ich frage auch nicht, warum Du das zweitere machen möchtest...

 

[nutrix]

Rein praktisch habe ich das in all meinen Jahren im Netzwerk- wie Firewallumfeld nicht erlebt, daß man das so machen kann oder will. Es wäre doch schon wieder eine erhebliche Sicherheitslücke.

 

[CoMo]

Du kannst Schedules einrichten und in Firewall-Regeln nutzen.

Da kann ich aber nur feste Zeiten konfigurieren. Daran ist gar nichts dynamisch.

Es wäre doch schon wieder eine erhebliche Sicherheitslücke.

Warum?

 

[Harrdy]

Das soll aber nicht eine Art Fail2ban werden? Ansonsten kannst du mit der API im Prinzip alles machen. Entweder als cron auf der gleichen Maschine oder auch extern.

Ein mögliches Beispiel, wie sowas aussehen könnte.

REJECT_COUNT=$(pfctl -vvsr | grep -A5 "REJECT von AliasX" | grep "Evaluations" | awk '{print $2}')
if [ "$REJECT_COUNT" -gt 100 ]; then
  echo "Schwelle erreicht – NAT-Regel aktivieren"
  # API-Aufruf zum Regeln-Umschalten hier
fi

APIKEY="dein_api_key"
SECRET="dein_api_secret"
FIREWALL_ID="uuid_der_regel"
HOST="https://deine-opnsense.local/api"

# Regel deaktivieren
curl -k -u "${APIKEY}:${SECRET}" \
  -X POST "${HOST}/firewall/rule/toggle/${FIREWALL_ID}"

 

[nutrix]

Warum?

Wenn Du einem Prozess ermöglichst, dynamisch Deine Firewallregeln zu ändern, ist das ein Einfallstor. Würde ich never ever sicherheitstechnisch irgendwo irgendwie erlauben.

 

[CoMo]

Das soll aber nicht eine Art Fail2ban werden?

Sowas in der Art. Die IP-Adressen kommen aus deceptifeed. Manche Bots versuchen es trotz Sperre noch stundenlang weiter. Die möchte ich dann einfach an meinen endlessh Container weiterschicken, damit sie sich da eine Weile beschäftigen können.

 

[Harrdy]

Ich persönlich würde solche Anfragen nichtmal Zurückweisen sondern direkt Droppen.