Firewall Regeln für Travelrouter
Hallo,
ich habe mir auf einem Raspi mit RaspAP einen Travelrouter eingerichtet. Leider kommt dieses Projekt ohne Firewall Regeln.
Schnittstellen sind:
-eth0, genutzt wenn er mal in meine Heimnetzwerk hängen solle oder ich per LAN Kabel auf das RaspAP GUI gehe.
- wlan0, eingebaute WIFI Schnittstelle des Raspi, verbindet sich mit Hotel-WLAN
- wifi1, Hotspot auf den sich meine Geräte verbinden und und dann über wlan0 ins Internet gehen.
Wie sichere ich das am besten mit Firewall Regeln ab?
Danke
ich habe mir auf einem Raspi mit RaspAP einen Travelrouter eingerichtet. Leider kommt dieses Projekt ohne Firewall Regeln.
Schnittstellen sind:
-eth0, genutzt wenn er mal in meine Heimnetzwerk hängen solle oder ich per LAN Kabel auf das RaspAP GUI gehe.
- wlan0, eingebaute WIFI Schnittstelle des Raspi, verbindet sich mit Hotel-WLAN
- wifi1, Hotspot auf den sich meine Geräte verbinden und und dann über wlan0 ins Internet gehen.
Wie sichere ich das am besten mit Firewall Regeln ab?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672284
Url: https://administrator.de/forum/firewall-regeln-fuer-travelrouter-672284.html
Ausgedruckt am: 08.04.2025 um 08:04 Uhr
34 Kommentare
Neuester Kommentar
Zitat von @U08154711:
Danke, kenne ich, aber wie Du sicher gesehen hast, ist dass nur möglich, wenn man „bezahlt“…
Danke, kenne ich, aber wie Du sicher gesehen hast, ist dass nur möglich, wenn man „bezahlt“…
So ist es. Wo ist das Problem? Wenn es Dir zu teuer ist, nutze ein anderes System oder fertige Travel Router.
Auf die Idee wäre ich nie gekommen. Diskussionen hierzu sind überflüsig. Wie Deine Antwort.
Eher wie Dein Kommentar und Dein Vorgehen. Es gibt eine Lösung und Menschen, die dafür arbeiten. Die möchten bezahlt werden. Das ist absolut nachvollziehbar.Oder eben ein fertiger Router, das war ernst gemeint, die Geräte z.B. von Gl.iNet sind klein, kompakt, ready und basieren auf openWRT.
Du möchtest das nicht? Dann bastel selbst.
Also wo ist das Problem?
Das ist in sofern uralt und depricated weil so gut wie alle Debian basierten Distros nur noch die moderne nftables Firewall benutzen. Du solltest dann also tunlichst auch diese benutzen.
Guckst du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Guckst du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zitat von @U08154711:
Meine Geräte sind doch völlig irrelevant und unbedenklich, es geht um die offenen Schnittstellen
Meine Geräte sind doch völlig irrelevant und unbedenklich, es geht um die offenen Schnittstellen
Sorry, dann habe ich Dich missverstanden.
Ich dachte Du willst wissen, wie Du die Regeln generell einstellen sollst. Aus der Frage war, zumindest mir, nicht ersichtlich, daß Du ein Skript haben willst, das alles fertig einstellt.
lks
PS:Gutgemeinter Ratschlag: Lies Dir die Dokumentation zu nftables durch und schau, daß Du die Befehle selber herazsfindest. Dann lernst Du mehr, als die fertigen Skripte von hier einzuspielen und zu hoffen, daß die das machen, was Du wünschst und nicht das, was der Ersteller gedacht hat, was Du Dir wünschen könntest.
So?
Nope, die Konfig setzt du logischerweise en bloc wie sie oben gezeigt ist in die /etc/nftables.conf damit sie beim Booten automatisch geladen wird.Stelle sicher mit systemctl enable nftables das der Firewalldienst automatisch gestartet wird.
Ein systemctl status nftables zeigt dir das an und dein aktives Ruleset zeigt dir nft list ruleset
Die nftables.conf Datei ist mehr oder minder schon selbsterklärend von den Regeln.
Das nftables Wiki hat auch ein paar einfache Router Beispiele mit denen man das Ruleset nachvollziehen kann:
https://wiki.nftables.org/wiki-nftables/index.php/Simple_ruleset_for_a_h ...
Wenn du die 2 allerersten Zeilen
noch hinzufügst wäre es fast perfekt! 
https://wiki.gentoo.org/wiki/Nftables/Examples
Etwas logischer Unsinn ist noch drin denn du hast die Grundregel first match wins vergessen.
iif "wlan1" accept
iif "wlan1" udp dport { 53, 67 } accept
Ist deswegen unsinnig weil du zuerst generell jeglichen Traffic an wlan 1erlaubst, danach dann aber auf Ports UDP 53 und 67 einschränkst was dann sinnfrei ist. Man kann nicht erst alles erlauben und es danach dann einschränken. Bzw. nach dem ersten Match greift der 2te natürlich nicht mehr.
Mal ganz abgesehen davon das DNS bekanntlich UDP und TCP 53 verwenden und du mit der Regel eh scheiterst.
Der Rest passt soweit...
#!/usr/sbin/nft -f
flush ruleset
https://wiki.gentoo.org/wiki/Nftables/Examples
Etwas logischer Unsinn ist noch drin denn du hast die Grundregel first match wins vergessen.
iif "wlan1" accept
iif "wlan1" udp dport { 53, 67 } accept
Ist deswegen unsinnig weil du zuerst generell jeglichen Traffic an wlan 1erlaubst, danach dann aber auf Ports UDP 53 und 67 einschränkst was dann sinnfrei ist. Man kann nicht erst alles erlauben und es danach dann einschränken. Bzw. nach dem ersten Match greift der 2te natürlich nicht mehr.
Mal ganz abgesehen davon das DNS bekanntlich UDP und TCP 53 verwenden und du mit der Regel eh scheiterst.
Der Rest passt soweit...
Dashalb ja der Hinweis auf die falsche (iptables) Syntax am Anfang!! 
table inet filter { ...
Wäre hier richtig!
Wenn, dann solltest du auch schon mal das lesen was man dir schreibt! Beispiel. 🧐
Es wäre auch sinnvoller strukturiert mit Variablen für die Interfaces zu arbeiten, das reduziert die Gefahr von Fehlern.
table inet filter { ...
Wäre hier richtig!
Wenn, dann solltest du auch schon mal das lesen was man dir schreibt! Beispiel. 🧐
Es wäre auch sinnvoller strukturiert mit Variablen für die Interfaces zu arbeiten, das reduziert die Gefahr von Fehlern.
Sieh dir mal deinen Konfig File zu dem funktionierenden Beispiel an dann springt einem das förmlich ins Auge:
Deine Version:
#!/usr/sbin/nft -f
flush ruleset
table ip filter {
chain INPUT { ...
Version wie es richtig sein sollte:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain INPUT { ...
Und auch mit einer dicken Warnmeldung: "Warning: table ip filter is managed by iptables-nft, do not touch!"
Finde den Fehler!
Deine Version:
#!/usr/sbin/nft -f
flush ruleset
table ip filter {
chain INPUT { ...
Version wie es richtig sein sollte:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain INPUT { ...
Und auch mit einer dicken Warnmeldung: "Warning: table ip filter is managed by iptables-nft, do not touch!"
Finde den Fehler!
Gut, dann musst du suchen was das verhindert. Generell ist das eine übliche FW Konfig und rennt natürlich fehlerfrei. Dein Regelwerk eben mal in einen RasPi und auch Debian VM gepastet und funktioniert wie es soll.
Vermutung: Du hast iptables und nftables zusammen laufen und die behindern sich gegenseitig. Es kann nur einen geben!!
Vermutung: Du hast iptables und nftables zusammen laufen und die behindern sich gegenseitig. Es kann nur einen geben!!