150287
Goto Top

Tipps Umstieg ufw zu iptables

Hallo,

ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.

Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.

Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.

Wenn ich ufw installiere dann gibt es ja ein gewisses Grundregelset, welche schon vorhanden hist, quasi Hintergrund Regeln. Ich hab ein bisschen Sorge, dass ich beim einrichten eines Firewall Set diese Regeln nicht alle zusammenbringe, und dann eben Lücken da sind.

Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Ich will eigentlich nur die Standardinhalte, die auch beim aktivieren er ufw vorhanden sein würden, oder halt darüber hinaus, wenn es noch sicherer ist.

Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...

Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?

Hoffe ich konnte deutlich machen, worum es geht und würde mich über Input freuen.


Danke

Content-ID: 1721673403

Url: https://administrator.de/contentid/1721673403

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

fredmy
fredmy 14.01.2022 um 08:55:58 Uhr
Goto Top
Zitat von @150287:

ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.

Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.

wenn der Text oben stimmt: also "normalerweise" alles verboten und benötigte Dienste ausdrücklich erlaubt,
was muss man da blocken ? Webserver mit Blacklist ? - heisst kein "öffentlicher" Webserver mehr zumal Blacklist nur mit bekannten festen IPs funktioniert


Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.


bei mir stehen die Regeln standardmäßig in einem Script und werden beim booten geladen (wie bei ufw)
ein wenig hilft noch fail2ban gegen "unerwünschte Anmeldeversuche"

Willst einen "privaten Webserver" dann erlaubst du eben nur das!

Ich habe mal gelernt : bei öffentlichen Maschinen ist nur erlaubt, was gebraucht wird (also die pessimisteche Variante der Firewall)
Man kann auch (optimistische Variante) Allen alles erlauben und danach Verbotene sperren aber es gibt immer mindestens einen den du "übersehen" hast.
Anders sieht es bei (internen) lokalen Netzen aus, wo alle Teilnehmer bekannt sind/überschaubar sind

Fred
lcer00
lcer00 14.01.2022 um 13:44:45 Uhr
Goto Top
Hallo,

nur schnell folgender Hinweis, Blick über den Tellerrand:

Debian hat mittlerweile auf nftables als default firewall umgestellt: https://wiki.debian.org/nftables https://www.nftables.org/ was konsequent ist, da das verantwortliche Netfilter-project sagt:
nftables is the successor of iptables, it allows for much more flexible, scalable and performance packet classification. This is where all the fancy new features are developed.
Ubuntu bleibt derzeit offenbar bei ufw / iptables als default Firewall. Allerdings ist es trotzdem zu möglich, nftables zu verwenden: https://www.liquidweb.com/kb/how-to-install-nftables-in-ubuntu/

Da ich selbst keine Erfahrung mit iptables hatte, habe ich (bei Debian) gleich mit nftables angefangen. Für mich war der strukturierte Syntax von nftables vertrauter, als die zeilenweisen iptables Einträge.

Grüße

lcer
148523
148523 14.01.2022 um 15:06:09 Uhr
Goto Top
Seit Debian Bullseye gibt es schon keine iptables mehr sondern nur noch nftables. Da werden wohl alle Debian basierten Distros auch folgen. iptables ist ganz sicher ein Auslaufmodell.
150287
150287 14.01.2022 um 21:37:21 Uhr
Goto Top
Danke für die Infos. Hilft mir aber nicht weiter…
EliteHacker
EliteHacker 15.01.2022 um 04:15:31 Uhr
Goto Top
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.

Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...

Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.

Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?

Du sagst es.
hokaido
hokaido 15.01.2022 um 12:42:04 Uhr
Goto Top
Ich kann leider nicht weiterhelfen, bin aber durch Zufall auf den Beitrag gestoßen...

Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.

Und genau so ein Skript mit den Standardeinstellungen sucht der TO wohl, damit er es für seine paar Regeln anpassen kann.


Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.

Warum dann überhaupt per Skript? Dann kann man doch entweder alle Einträge dem Skript hinzufügen oder alle oder iptables-save speichern. Dann hat man immer alles zusammen... Oder oder liege ich falsch?
149569
Lösung 149569 15.01.2022 aktualisiert um 15:39:17 Uhr
Goto Top
Zitat von @150287:
Danke für die Infos. Hilft mir aber nicht weiter…
Autsch. Wie wir dir im letzten Beitrag schon x mal vorgebetet haben, ufw ist nur ein Frontend für iptables!!
Wenn du dir nämlich mal bei aktiviertem ufw auf der Konsole mittels
iptables -L -v
und
ip6tables -L -v
die Regeln anschauen würdest, hättest du gesehen das ufw einfach nur seine Regeln nach iptables umsetzt, die unter /etc/ufw liegen.

Um die Plain zu exportieren wurde ja schon der richtige Command genannt
sudo iptables-save >/etc/iptables/iptables.rules
sudo ip6tables-save >/etc/iptables/ip6tables.rules
Schon hast du dein Basis-Regelset das genau dem von ufw entspricht.

Im Klartext ist es dieses:

back-to-topIPv4

# Generated by iptables-save v1.8.4 on Sat Jan 15 15:11:44 2022
*nat
:PREROUTING ACCEPT [12:1513]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [22:1699]
:POSTROUTING ACCEPT [22:1699]
COMMIT
# Completed on Sat Jan 15 15:11:44 2022
# Generated by iptables-save v1.8.4 on Sat Jan 15 15:11:44 2022
*filter
:INPUT DROP [1:36]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "  
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "  
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Jan 15 15:11:44 2022

back-to-topIPv6

# Generated by ip6tables-save v1.8.4 on Sat Jan 15 15:12:27 2022
*filter
:INPUT DROP [1:64]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw6-after-forward - [0:0]
:ufw6-after-input - [0:0]
:ufw6-after-logging-forward - [0:0]
:ufw6-after-logging-input - [0:0]
:ufw6-after-logging-output - [0:0]
:ufw6-after-output - [0:0]
:ufw6-before-forward - [0:0]
:ufw6-before-input - [0:0]
:ufw6-before-logging-forward - [0:0]
:ufw6-before-logging-input - [0:0]
:ufw6-before-logging-output - [0:0]
:ufw6-before-output - [0:0]
:ufw6-logging-allow - [0:0]
:ufw6-logging-deny - [0:0]
:ufw6-reject-forward - [0:0]
:ufw6-reject-input - [0:0]
:ufw6-reject-output - [0:0]
:ufw6-skip-to-policy-forward - [0:0]
:ufw6-skip-to-policy-input - [0:0]
:ufw6-skip-to-policy-output - [0:0]
:ufw6-track-forward - [0:0]
:ufw6-track-input - [0:0]
:ufw6-track-output - [0:0]
:ufw6-user-forward - [0:0]
:ufw6-user-input - [0:0]
:ufw6-user-limit - [0:0]
:ufw6-user-limit-accept - [0:0]
:ufw6-user-logging-forward - [0:0]
:ufw6-user-logging-input - [0:0]
:ufw6-user-logging-output - [0:0]
:ufw6-user-output - [0:0]
-A INPUT -j ufw6-before-logging-input
-A INPUT -j ufw6-before-input
-A INPUT -j ufw6-after-input
-A INPUT -j ufw6-after-logging-input
-A INPUT -j ufw6-reject-input
-A INPUT -j ufw6-track-input
-A FORWARD -j ufw6-before-logging-forward
-A FORWARD -j ufw6-before-forward
-A FORWARD -j ufw6-after-forward
-A FORWARD -j ufw6-after-logging-forward
-A FORWARD -j ufw6-reject-forward
-A FORWARD -j ufw6-track-forward
-A OUTPUT -j ufw6-before-logging-output
-A OUTPUT -j ufw6-before-output
-A OUTPUT -j ufw6-after-output
-A OUTPUT -j ufw6-after-logging-output
-A OUTPUT -j ufw6-reject-output
-A OUTPUT -j ufw6-track-output
-A ufw6-after-input -p udp -m udp --dport 137 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 138 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 139 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 445 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 546 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 547 -j ufw6-skip-to-policy-input
-A ufw6-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw6-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw6-before-forward -m rt --rt-type 0 -j DROP
-A ufw6-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-forward -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-forward -j ufw6-user-forward
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-input -m rt --rt-type 0 -j DROP
-A ufw6-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-input -m conntrack --ctstate INVALID -j ufw6-logging-deny
-A ufw6-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 143 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 151 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 152 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 153 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 144 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 145 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 146 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 147 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -d fe80::/10 -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A ufw6-before-input -d ff02::fb/128 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw6-before-input -d ff02::f/128 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw6-before-input -j ufw6-user-input
-A ufw6-before-output -o lo -j ACCEPT
-A ufw6-before-output -m rt --rt-type 0 -j DROP
-A ufw6-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 143 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 151 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 152 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 153 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -j ufw6-user-output
-A ufw6-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "  
-A ufw6-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw6-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "  
-A ufw6-skip-to-policy-forward -j DROP
-A ufw6-skip-to-policy-input -j DROP
-A ufw6-skip-to-policy-output -j ACCEPT
-A ufw6-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw6-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw6-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw6-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "  
-A ufw6-user-limit -j REJECT --reject-with icmp6-port-unreachable
-A ufw6-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Jan 15 15:12:27 2022

Persönliche regeln kommen dann in die Chains ufw-user-input bzw. für IPv6 ufw6-user-input für INPUT und für's FORWARD ufw-user-forward bzw. für IPv6 ufw6-user-forward.

Diese lassen sich per
sudo iptables-restore </etc/iptables/iptables.rules
sudo ip6tables-restore </etc/iptables/ip6tables.rules
wiederherstellen. Und mittels dem Package iptables-persistent permanent machen. Was dazu führt das ein Systemdienst für iptables angelegt wird der das Regelset unter /etc/iptables/iptables.rules und /etc/iptables/ip6tables.rules automatisch beim Dienststart lädt.

Man sollte natürlich beachten das das ein Regelset für einen Client und nicht für einen Router ist!

Und noch wichtiger, wenn man schon eine Firewall einsetzt sollte man sie auch als erstes mal vestehen sonst bringt dir eine Firewall nüscht! Also nicht nur copy n'paste sondern Regel für Regel durchgehen und verstehen bevor man sie nutzt, also das Hirn dafür einsetzen wofür es geschaffen wurde!

Also was willst du noch mehr auf dem Silbertablett?? Mehr gibbed hier ned.

Dann auch bitte den Fred hier dicht machen. Danke.

/hacktor
150287
150287 15.01.2022 um 15:54:30 Uhr
Goto Top
Schade, die Arroganz mancher Mitglieder hier ist schon erstaunlich…

Ich hatte eine Frage gestellt, lesen oder verstehen Turn gerade die arroganten sie nicht.

Mir ist bewusst was die Ufw ist. Warum stelle ich wohl die Frage ?? Siehe Titel der Anfrage.

Egal. Das ist hier nicht das richtige Forum. Ich frag mich nur warum diese Leute nicht einfach gar nicht antworten.
Egal.
Trifft sicher nicht auf alle zu. Aber auf VIELE.

Bin dann nachher hier weg…
149569
149569 15.01.2022 aktualisiert um 16:22:15 Uhr
Goto Top
Die Antworten so mancher Leute sind aber auch nicht besonders auskunftsfreudig ...
Danke für die Infos. Hilft mir aber nicht weiter…
So wie es in den Wald hinein schallt so kommt es zurück ...

Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Ja weil Firewalls eben immer individuell sind, jeder hat andere Anforderungen und Dienste aktiv, deswegen findest du kein mach mir mal automatisch ohne hinterher nachzudenken. Ohne dir weiter Wissen anzueignen wirst du hier nicht weiter kommen. Eine Basis findest du bereits oben, nun bleibt nur noch sich selbst hinzusetzen und es zu verstehen, denn ohne geht es einfach nicht. Die Endverantwortung liegt letztendlich immer bei dir selbst das kann dir hier selbstverständlich keiner abnehmen.

Das hat rein gar nichts mit Arroganz zu tun sondern sind schlicht harte Fakten nicht mehr und nicht weniger! Wenn du so empfindlich bist und dir keine Empfehlung geben lässt wie im anderen Thread bereits x mal geschehen und immer wieder mit abwimmelst weil es nicht mundgerecht ist, bist du hier tatsächlich falsch.
150287
150287 15.01.2022 um 16:26:27 Uhr
Goto Top
Ja melde mich nachher ab.

Aber vll sollte mancher lesen lernen. Es steht alles da. Wenn man es lesen will.
Und auf ne Frage nach Skript unter Ubuntu mit Debian bla bla zu antworten… das hilft nicht weiter

Wie du sagst harte Fakten

Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…

Dann antwortet gar nicht wenn ihr nicht wollt. Das war es jetzt wirklich. Zeitverschwendung
149569
149569 15.01.2022 aktualisiert um 16:35:53 Uhr
Goto Top
Zitat von @150287:
Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…
Was willst du überhaupt, das Standard-Regelset der ufw habe ich dir oben als iptables Regeln sowohl für IPv4 und IPv6 im plaintext gepostet, mehr Silbertablett geht ja wohl nicht! Man sollte zumindest die Antworten mal lesen.
Tja da kann man echt nichts mehr sagen.

Tschüss und viel Erfolg bei der Suche nach der Wollmilchsau.
148523
148523 15.01.2022 um 16:37:53 Uhr
Goto Top
Hapert ja schon bei solch' einfachen Fakten das Ubuntu eine Debian basierte Distro ist... face-sad
Zeitverschwendung...
lcer00
lcer00 15.01.2022 um 19:46:36 Uhr
Goto Top
Hallo,

manche meinen, ein Forum ist so etwas wie eine Jukebox wo man ne Münze reinwirft und dann genau das abgespielt bekommt, was man aussucht - nur ohne Münze.

Grüße

lcer