Jan 01, 2022

2678

Iptables rule mit UFW persistent machen

Hallo,

zum blocken von Portscan würde ich gerne diese Lösung einsetzen:
https://github.com/trick77/ipset-blacklist

Dort wird eine iptables rule persistent gemacht.
Ich habe mal etwas gegoogelt und gefunden, dass man sich sämtliche regeln in ein Firewall skript schreiben könnte, was beim Systemstart geladen wird. Iptables Regeln scheinen einen Reboot sonst ja nicht zu überleben.

Ich schreibe aber meine Regeln nicht mit iptables sondern nutze ufw. Hier scheinen die Regeln persistent zu sein.
Daher die Frage:
Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?

Oder gibt es eine andere Lösung?

Danke

Please also mark the comments that contributed to the solution of the article

Content-Key: 1679883063

Url: https://administrator.de/contentid/1679883063

Printed on: April 26, 2024 at 18:04 o'clock

14 Comments

Latest comment

Du kannst mit dem Paket

iptables-persistent

den Befehl

iptables-save

verwenden, damit iptables-Einträge einen Neustart überleben.

Danke. Aber iptables persistent scheint nicht kompatibel mit der ufw zu sein…

Zitat von @itstrue:

Danke. Aber iptables persistent scheint nicht kompatibel mit der ufw zu sein…

Ich hab Mal schnell nach "Linux UFW persistent" gegoogelt und (u.a.) dieser scheint hilfreich zu sein:

https://www.linuxbabe.com/security/ufw-firewall-debian-ubuntu-linux-mint ...

Danke, aber da steht leider nix neues drin. Es bestätigt das von mir geschriebene. Iptables persistent ist nicht kompatibel mit ufw. Womit wir wieder am Anfang sind…

Wie du selbst schon schreibst User definierte Regeln die der User mit ufw auf der Konsole anlegt werden automatisch gespeichert in /etc/ufw/user.rules und auch beim Reboot wieder geladen.
Es ist also nichts weiter notig um damit Regeln persistent zu machen...
Lesen bildet:
https://wiki.ubuntuusers.de/ufw/

Zitat von @itstrue:

Danke, aber da steht leider nix neues drin. Es bestätigt das von mir geschriebene. Iptables persistent ist nicht kompatibel mit ufw. Womit wir wieder am Anfang sind…

Das mag sein, aber

As you probably know, iptables firewall rules will be flushed when the OS shuts down and the iptables program itself does not restore the firewall rules. UFW by default restores firewall rules after system reboot.

beschreibt doch das Standardverhalten, der UFW, oder?

Nachtrag: Wenn bei deiner UFW die eigenen Regeln also nicht bei Neustart Wiederhergestellt werden, hast du beim Standard der UFW also etwas geändert - was wir natürlich nicht wissen können, was du dann verändert hast....

Ja lesen bildet…
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann

Zitat von @itstrue:

Ja lesen bildet…
Ich hab nie gesagt, dass meine Ufw die Regeln nicht persistent macht. Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann

Dann sollte man die Frage auch so stellen, leider war dein Post diesbezüglich unverständlich.

ufw ist diesbezüglich ineffizient und lahm.
Ich würde dir daher raten die Firewall gleich ganz zu wechseln (iptables oder gleich den Nachfolger nftables).

Wenn du wirklich so einen Mischmasch mit ufw und iptables haben willst, bidde:
https://www.michael-busch.de/droplisten-mit-ipset-und-ufw-verwenden/

Zitat von @itstrue:
Es geht um die Frage, wie ich die in dem verlinkten Beispiel angegebene Regel mit ufw umsetzen kann

OK, da bin ich deiner leicht verwirrenden Schreibe zum Opfer gefallen. Noch 2 Mal gelesen und deinen verlinkten GitHub studiert geht es ja wohl um

Die dynamische Einbindung von einer IP-Blacklist, die sich regelmäßig ändert.

Also nochmal gegoogelt

Google: UTF und IPSET

und der erste Verweis könnte schon die Lösung bringen?

Droplisten mit ipset und ufw verwenden

.

Danke ich schau es mir an.

Ich wüsste aber nicht, was hieran unverständlich war: „Kann man die Regel die in o.g. Lösung benötigt wird auch mit ufw irgendwie dauerhaft erstellen?“

ufw ist diesbezüglich ineffizient und lahm.
Ich würde dir daher raten die Firewall gleich ganz zu wechseln (iptables oder gleich den Nachfolger nftables).

Inwiefern ist UFW lahm? Ineffizient ja, da UFW kein eigenständiger Paketfilter ist sondern nur ein Frontend für iptables. Den Sinn und Zweck solcher Frontends erschließt sich mir auch nicht, da die iptables Syntax alles andere als kompliziert ist.

Entsprechend verstehe ich das Problem des TO auch nicht so ganz.

Zitat von @150345:
Inwiefern ist UFW lahm?

Meinte ich im Vergleich zu nftables, sorry war nicht ganz klar formuliert.

Danke für die Vorschläge, ich wollte aber bei der in Post 1 verlinkten Lösung bleiben.

Daher nochmal konkret: Kann ich das irgendwie in die ufw (Dateien) bringen?

# Enable blacklists
ipset restore < /etc/ipset-blacklist/ip-blacklist.restore
iptables -I INPUT 1 -m set --match-set blacklist src -j DROP

Siehe Details in Link Post 1

Nein, wie oben schon geschrieben ist UFW nur ein Frontend, das Backend ist iptables. Ufw kennt aber keine direkte Syntax zum Beschreiben von SETs deswegen musst du das in das von UFW erzeugte iptables Regelset integrieren indem du das obige als Shell-Skript nach jeder Änderung/Reboot/Dienstneustart der Regeln mit UFW ausführst denn sonst wird die selbst hinzugefügte iptables Regel durch UFW immer wieder überschrieben/entfernt.

Und wie das geht haben wir oben verlinkt, deswegen nochmal ...
https://www.michael-busch.de/droplisten-mit-ipset-und-ufw-verwenden/

German Question Firewall Security