150287
14.01.2022, aktualisiert um 08:52:08 Uhr
2829
13
0
Tipps Umstieg ufw zu iptables
Hallo,
ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.
Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.
Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.
Wenn ich ufw installiere dann gibt es ja ein gewisses Grundregelset, welche schon vorhanden hist, quasi Hintergrund Regeln. Ich hab ein bisschen Sorge, dass ich beim einrichten eines Firewall Set diese Regeln nicht alle zusammenbringe, und dann eben Lücken da sind.
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Ich will eigentlich nur die Standardinhalte, die auch beim aktivieren er ufw vorhanden sein würden, oder halt darüber hinaus, wenn es noch sicherer ist.
Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...
Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?
Hoffe ich konnte deutlich machen, worum es geht und würde mich über Input freuen.
Danke
ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.
Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.
Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.
Wenn ich ufw installiere dann gibt es ja ein gewisses Grundregelset, welche schon vorhanden hist, quasi Hintergrund Regeln. Ich hab ein bisschen Sorge, dass ich beim einrichten eines Firewall Set diese Regeln nicht alle zusammenbringe, und dann eben Lücken da sind.
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Ich will eigentlich nur die Standardinhalte, die auch beim aktivieren er ufw vorhanden sein würden, oder halt darüber hinaus, wenn es noch sicherer ist.
Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...
Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?
Hoffe ich konnte deutlich machen, worum es geht und würde mich über Input freuen.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1721673403
Url: https://administrator.de/contentid/1721673403
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
13 Kommentare
Neuester Kommentar
Zitat von @150287:
ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.
Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.
Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.
wenn der Text oben stimmt: also "normalerweise" alles verboten und benötigte Dienste ausdrücklich erlaubt,
was muss man da blocken ? Webserver mit Blacklist ? - heisst kein "öffentlicher" Webserver mehr zumal Blacklist nur mit bekannten festen IPs funktioniert
Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.
bei mir stehen die Regeln standardmäßig in einem Script und werden beim booten geladen (wie bei ufw)
ein wenig hilft noch fail2ban gegen "unerwünschte Anmeldeversuche"
Willst einen "privaten Webserver" dann erlaubst du eben nur das!
Ich habe mal gelernt : bei öffentlichen Maschinen ist nur erlaubt, was gebraucht wird (also die pessimisteche Variante der Firewall)
Man kann auch (optimistische Variante) Allen alles erlauben und danach Verbotene sperren aber es gibt immer mindestens einen den du "übersehen" hast.
Anders sieht es bei (internen) lokalen Netzen aus, wo alle Teilnehmer bekannt sind/überschaubar sind
Fred
Hallo,
nur schnell folgender Hinweis, Blick über den Tellerrand:
Debian hat mittlerweile auf nftables als default firewall umgestellt: https://wiki.debian.org/nftables https://www.nftables.org/ was konsequent ist, da das verantwortliche Netfilter-project sagt:
Ubuntu bleibt derzeit offenbar bei ufw / iptables als default Firewall. Allerdings ist es trotzdem zu möglich, nftables zu verwenden: https://www.liquidweb.com/kb/how-to-install-nftables-in-ubuntu/
Da ich selbst keine Erfahrung mit iptables hatte, habe ich (bei Debian) gleich mit nftables angefangen. Für mich war der strukturierte Syntax von nftables vertrauter, als die zeilenweisen iptables Einträge.
Grüße
lcer
nur schnell folgender Hinweis, Blick über den Tellerrand:
Debian hat mittlerweile auf nftables als default firewall umgestellt: https://wiki.debian.org/nftables https://www.nftables.org/ was konsequent ist, da das verantwortliche Netfilter-project sagt:
nftables is the successor of iptables, it allows for much more flexible, scalable and performance packet classification. This is where all the fancy new features are developed.
Da ich selbst keine Erfahrung mit iptables hatte, habe ich (bei Debian) gleich mit nftables angefangen. Für mich war der strukturierte Syntax von nftables vertrauter, als die zeilenweisen iptables Einträge.
Grüße
lcer
Seit Debian Bullseye gibt es schon keine iptables mehr sondern nur noch nftables. Da werden wohl alle Debian basierten Distros auch folgen. iptables ist ganz sicher ein Auslaufmodell.
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.
Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...
Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.
Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?
Du sagst es.
Ich kann leider nicht weiterhelfen, bin aber durch Zufall auf den Beitrag gestoßen...
Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.
Und genau so ein Skript mit den Standardeinstellungen sucht der TO wohl, damit er es für seine paar Regeln anpassen kann.
Warum dann überhaupt per Skript? Dann kann man doch entweder alle Einträge dem Skript hinzufügen oder alle oder iptables-save speichern. Dann hat man immer alles zusammen... Oder oder liege ich falsch?
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.
Und genau so ein Skript mit den Standardeinstellungen sucht der TO wohl, damit er es für seine paar Regeln anpassen kann.
Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.
Script-Einträge eben... per Script.
Warum dann überhaupt per Skript? Dann kann man doch entweder alle Einträge dem Skript hinzufügen oder alle oder iptables-save speichern. Dann hat man immer alles zusammen... Oder oder liege ich falsch?
Zitat von @150287:
Danke für die Infos. Hilft mir aber nicht weiter…
Autsch. Wie wir dir im letzten Beitrag schon x mal vorgebetet haben, ufw ist nur ein Frontend für iptables!!Danke für die Infos. Hilft mir aber nicht weiter…
Wenn du dir nämlich mal bei aktiviertem ufw auf der Konsole mittels
iptables -L -v
ip6tables -L -v
Um die Plain zu exportieren wurde ja schon der richtige Command genannt
sudo iptables-save >/etc/iptables/iptables.rules
sudo ip6tables-save >/etc/iptables/ip6tables.rules
Im Klartext ist es dieses:
IPv4
# Generated by iptables-save v1.8.4 on Sat Jan 15 15:11:44 2022
*nat
:PREROUTING ACCEPT [12:1513]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [22:1699]
:POSTROUTING ACCEPT [22:1699]
COMMIT
# Completed on Sat Jan 15 15:11:44 2022
# Generated by iptables-save v1.8.4 on Sat Jan 15 15:11:44 2022
*filter
:INPUT DROP [1:36]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Jan 15 15:11:44 2022
IPv6
# Generated by ip6tables-save v1.8.4 on Sat Jan 15 15:12:27 2022
*filter
:INPUT DROP [1:64]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw6-after-forward - [0:0]
:ufw6-after-input - [0:0]
:ufw6-after-logging-forward - [0:0]
:ufw6-after-logging-input - [0:0]
:ufw6-after-logging-output - [0:0]
:ufw6-after-output - [0:0]
:ufw6-before-forward - [0:0]
:ufw6-before-input - [0:0]
:ufw6-before-logging-forward - [0:0]
:ufw6-before-logging-input - [0:0]
:ufw6-before-logging-output - [0:0]
:ufw6-before-output - [0:0]
:ufw6-logging-allow - [0:0]
:ufw6-logging-deny - [0:0]
:ufw6-reject-forward - [0:0]
:ufw6-reject-input - [0:0]
:ufw6-reject-output - [0:0]
:ufw6-skip-to-policy-forward - [0:0]
:ufw6-skip-to-policy-input - [0:0]
:ufw6-skip-to-policy-output - [0:0]
:ufw6-track-forward - [0:0]
:ufw6-track-input - [0:0]
:ufw6-track-output - [0:0]
:ufw6-user-forward - [0:0]
:ufw6-user-input - [0:0]
:ufw6-user-limit - [0:0]
:ufw6-user-limit-accept - [0:0]
:ufw6-user-logging-forward - [0:0]
:ufw6-user-logging-input - [0:0]
:ufw6-user-logging-output - [0:0]
:ufw6-user-output - [0:0]
-A INPUT -j ufw6-before-logging-input
-A INPUT -j ufw6-before-input
-A INPUT -j ufw6-after-input
-A INPUT -j ufw6-after-logging-input
-A INPUT -j ufw6-reject-input
-A INPUT -j ufw6-track-input
-A FORWARD -j ufw6-before-logging-forward
-A FORWARD -j ufw6-before-forward
-A FORWARD -j ufw6-after-forward
-A FORWARD -j ufw6-after-logging-forward
-A FORWARD -j ufw6-reject-forward
-A FORWARD -j ufw6-track-forward
-A OUTPUT -j ufw6-before-logging-output
-A OUTPUT -j ufw6-before-output
-A OUTPUT -j ufw6-after-output
-A OUTPUT -j ufw6-after-logging-output
-A OUTPUT -j ufw6-reject-output
-A OUTPUT -j ufw6-track-output
-A ufw6-after-input -p udp -m udp --dport 137 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 138 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 139 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 445 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 546 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 547 -j ufw6-skip-to-policy-input
-A ufw6-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-before-forward -m rt --rt-type 0 -j DROP
-A ufw6-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-forward -j ufw6-user-forward
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-input -m rt --rt-type 0 -j DROP
-A ufw6-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-input -m conntrack --ctstate INVALID -j ufw6-logging-deny
-A ufw6-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 143 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 151 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 152 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 153 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 144 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 145 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 146 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 147 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -d fe80::/10 -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A ufw6-before-input -d ff02::fb/128 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw6-before-input -d ff02::f/128 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw6-before-input -j ufw6-user-input
-A ufw6-before-output -o lo -j ACCEPT
-A ufw6-before-output -m rt --rt-type 0 -j DROP
-A ufw6-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 143 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 151 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 152 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 153 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -j ufw6-user-output
-A ufw6-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw6-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw6-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-skip-to-policy-forward -j DROP
-A ufw6-skip-to-policy-input -j DROP
-A ufw6-skip-to-policy-output -j ACCEPT
-A ufw6-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw6-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw6-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw6-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw6-user-limit -j REJECT --reject-with icmp6-port-unreachable
-A ufw6-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Jan 15 15:12:27 2022
Persönliche regeln kommen dann in die Chains ufw-user-input bzw. für IPv6 ufw6-user-input für INPUT und für's FORWARD ufw-user-forward bzw. für IPv6 ufw6-user-forward.
Diese lassen sich per
sudo iptables-restore </etc/iptables/iptables.rules
sudo ip6tables-restore </etc/iptables/ip6tables.rules
Man sollte natürlich beachten das das ein Regelset für einen Client und nicht für einen Router ist!
Und noch wichtiger, wenn man schon eine Firewall einsetzt sollte man sie auch als erstes mal vestehen sonst bringt dir eine Firewall nüscht! Also nicht nur copy n'paste sondern Regel für Regel durchgehen und verstehen bevor man sie nutzt, also das Hirn dafür einsetzen wofür es geschaffen wurde!
Also was willst du noch mehr auf dem Silbertablett?? Mehr gibbed hier ned.
Dann auch bitte den Fred hier dicht machen. Danke.
/hacktor
Die Antworten so mancher Leute sind aber auch nicht besonders auskunftsfreudig ...
Das hat rein gar nichts mit Arroganz zu tun sondern sind schlicht harte Fakten nicht mehr und nicht weniger! Wenn du so empfindlich bist und dir keine Empfehlung geben lässt wie im anderen Thread bereits x mal geschehen und immer wieder mit abwimmelst weil es nicht mundgerecht ist, bist du hier tatsächlich falsch.
Danke für die Infos. Hilft mir aber nicht weiter…
So wie es in den Wald hinein schallt so kommt es zurück ... Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Ja weil Firewalls eben immer individuell sind, jeder hat andere Anforderungen und Dienste aktiv, deswegen findest du kein mach mir mal automatisch ohne hinterher nachzudenken. Ohne dir weiter Wissen anzueignen wirst du hier nicht weiter kommen. Eine Basis findest du bereits oben, nun bleibt nur noch sich selbst hinzusetzen und es zu verstehen, denn ohne geht es einfach nicht. Die Endverantwortung liegt letztendlich immer bei dir selbst das kann dir hier selbstverständlich keiner abnehmen.Das hat rein gar nichts mit Arroganz zu tun sondern sind schlicht harte Fakten nicht mehr und nicht weniger! Wenn du so empfindlich bist und dir keine Empfehlung geben lässt wie im anderen Thread bereits x mal geschehen und immer wieder mit abwimmelst weil es nicht mundgerecht ist, bist du hier tatsächlich falsch.
Zitat von @150287:
Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…
Was willst du überhaupt, das Standard-Regelset der ufw habe ich dir oben als iptables Regeln sowohl für IPv4 und IPv6 im plaintext gepostet, mehr Silbertablett geht ja wohl nicht! Man sollte zumindest die Antworten mal lesen.Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…
Tja da kann man echt nichts mehr sagen.
Tschüss und viel Erfolg bei der Suche nach der Wollmilchsau.
Hapert ja schon bei solch' einfachen Fakten das Ubuntu eine Debian basierte Distro ist...
Zeitverschwendung...
Zeitverschwendung...