14
Iptables rule mit UFW persistent machen
Hallo,
zum blocken von Portscan würde ich gerne diese Lösung einsetzen:
https://github.com/trick77/ipset-blacklist
Dort wird eine iptables rule persistent gemacht.
Ich habe mal etwas gegoogelt und gefunden, dass man sich sämtliche regeln in ein Firewall skript schreiben könnte, was beim Systemstart geladen wird. Iptables Regeln scheinen einen Reboot sonst ja nicht zu überleben.
Ich schreibe aber meine Regeln nicht mit iptables sondern nutze ufw. Hier scheinen die Regeln persistent zu sein.
Daher die Frage:
Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?
Oder gibt es eine andere Lösung?
Danke
zum blocken von Portscan würde ich gerne diese Lösung einsetzen:
https://github.com/trick77/ipset-blacklist
Dort wird eine iptables rule persistent gemacht.
Ich habe mal etwas gegoogelt und gefunden, dass man sich sämtliche regeln in ein Firewall skript schreiben könnte, was beim Systemstart geladen wird. Iptables Regeln scheinen einen Reboot sonst ja nicht zu überleben.
Ich schreibe aber meine Regeln nicht mit iptables sondern nutze ufw. Hier scheinen die Regeln persistent zu sein.
Daher die Frage:
Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?
Oder gibt es eine andere Lösung?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1679883063
Url: https://administrator.de/contentid/1679883063
Ausgedruckt am: 19.11.2024 um 15:11 Uhr
14 Kommentare
Neuester Kommentar
Du kannst mit dem Paket den Befehl verwenden, damit iptables-Einträge einen Neustart überleben.
iptables-persistentiptables-save
Danke. Aber iptables persistent scheint nicht kompatibel mit der ufw zu sein…
Ich hab Mal schnell nach "Linux UFW persistent" gegoogelt und (u.a.) dieser scheint hilfreich zu sein:
https://www.linuxbabe.com/security/ufw-firewall-debian-ubuntu-linux-mint ...
Danke, aber da steht leider nix neues drin. Es bestätigt das von mir geschriebene. Iptables persistent ist nicht kompatibel mit ufw. Womit wir wieder am Anfang sind…
Wie du selbst schon schreibst User definierte Regeln die der User mit ufw auf der Konsole anlegt werden automatisch gespeichert in /etc/ufw/user.rules und auch beim Reboot wieder geladen.
Es ist also nichts weiter notig um damit Regeln persistent zu machen...
Lesen bildet:
https://wiki.ubuntuusers.de/ufw/
Es ist also nichts weiter notig um damit Regeln persistent zu machen...
Lesen bildet:
https://wiki.ubuntuusers.de/ufw/
1Zitat von @itstrue:
Danke, aber da steht leider nix neues drin. Es bestätigt das von mir geschriebene. Iptables persistent ist nicht kompatibel mit ufw. Womit wir wieder am Anfang sind…
Danke, aber da steht leider nix neues drin. Es bestätigt das von mir geschriebene. Iptables persistent ist nicht kompatibel mit ufw. Womit wir wieder am Anfang sind…
Das mag sein, aber
As you probably know, iptables firewall rules will be flushed when the OS shuts down and the iptables program itself does not restore the firewall rules. UFW by default restores firewall rules after system reboot.
beschreibt doch das Standardverhalten, der UFW, oder?
Nachtrag: Wenn bei deiner UFW die eigenen Regeln also nicht bei Neustart Wiederhergestellt werden, hast du beim Standard der UFW also etwas geändert - was wir natürlich nicht wissen können, was du dann verändert hast....
Ja lesen bildet…
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
Zitat von @itstrue:
Ja lesen bildet…
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
Ja lesen bildet…
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
Dann sollte man die Frage auch so stellen, leider war dein Post diesbezüglich unverständlich.
ufw ist diesbezüglich ineffizient und lahm.
Ich würde dir daher raten die Firewall gleich ganz zu wechseln (iptables oder gleich den Nachfolger nftables).
Wenn du wirklich so einen Mischmasch mit ufw und iptables haben willst, bidde:
https://www.michael-busch.de/droplisten-mit-ipset-und-ufw-verwenden/
2Zitat von @itstrue:
Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann
OK, da bin ich deiner leicht verwirrenden Schreibe zum Opfer gefallen. Noch 2 Mal gelesen und deinen verlinkten GitHub studiert geht es ja wohl um
Die dynamische Einbindung von einer IP-Blacklist, die sich regelmäßig ändert.
Also nochmal gegoogelt
Google: UTF und IPSET
und der erste Verweis könnte schon die Lösung bringen?
Droplisten mit ipset und ufw verwenden
.
Danke ich schau es mir an.
Ich wüsste aber nicht, was hieran unverständlich war: „Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?“
Ich wüsste aber nicht, was hieran unverständlich war: „Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?“
ufw ist diesbezüglich ineffizient und lahm.
Ich würde dir daher raten die Firewall gleich ganz zu wechseln (iptables oder gleich den Nachfolger nftables).
Ich würde dir daher raten die Firewall gleich ganz zu wechseln (iptables oder gleich den Nachfolger nftables).
Inwiefern ist UFW lahm? Ineffizient ja, da UFW kein eigenständiger Paketfilter ist sondern nur ein Frontend für iptables. Den Sinn und Zweck solcher Frontends erschließt sich mir auch nicht, da die iptables Syntax alles andere als kompliziert ist.
Entsprechend verstehe ich das Problem des TO auch nicht so ganz.
Zitat von @150345:
Inwiefern ist UFW lahm?
Meinte ich im Vergleich zu nftables, sorry war nicht ganz klar formuliert.Inwiefern ist UFW lahm?
Danke für die Vorschläge, ich wollte aber bei der in Post 1 verlinkten Lösung bleiben.
Daher nochmal konkret: Kann ich das irgendwie in die ufw (Dateien) bringen?
Siehe Details in Link Post 1
Daher nochmal konkret: Kann ich das irgendwie in die ufw (Dateien) bringen?
# Enable blacklists
ipset restore < /etc/ipset-blacklist/ip-blacklist.restore
iptables -I INPUT 1 -m set --match-set blacklist src -j DROPSiehe Details in Link Post 1
Nein, wie oben schon geschrieben ist UFW nur ein Frontend, das Backend ist iptables. Ufw kennt aber keine direkte Syntax zum Beschreiben von SETs deswegen musst du das in das von UFW erzeugte iptables Regelset integrieren indem du das obige als Shell-Skript nach jeder Änderung/Reboot/Dienstneustart der Regeln mit UFW ausführst denn sonst wird die selbst hinzugefügte iptables Regel durch UFW immer wieder überschrieben/entfernt.
Und wie das geht haben wir oben verlinkt, deswegen nochmal ...
https://www.michael-busch.de/droplisten-mit-ipset-und-ufw-verwenden/
Und wie das geht haben wir oben verlinkt, deswegen nochmal ...
https://www.michael-busch.de/droplisten-mit-ipset-und-ufw-verwenden/
