Tipps Umstieg ufw zu iptables

liketoknow
Hallo,

ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.

Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.

Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.

Wenn ich ufw installiere dann gibt es ja ein gewisses Grundregelset, welche schon vorhanden hist, quasi Hintergrund Regeln. Ich hab ein bisschen Sorge, dass ich beim einrichten eines Firewall Set diese Regeln nicht alle zusammenbringe, und dann eben Lücken da sind.

Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Ich will eigentlich nur die Standardinhalte, die auch beim aktivieren er ufw vorhanden sein würden, oder halt darüber hinaus, wenn es noch sicherer ist.

Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...

Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?

Hoffe ich konnte deutlich machen, worum es geht und würde mich über Input freuen.


Danke

Content-Key: 1721673403

Url: https://administrator.de/contentid/1721673403

Ausgedruckt am: 28.01.2022 um 02:01 Uhr

Mitglied: fredmy
fredmy 14.01.2022 um 08:55:58 Uhr
Goto Top
Zitat von @150287:

ich habe auf einem Ubuntu Webserver ufw laufen. Funktioniert einwandfrei.
Keine großartigen Spielerein drauf. Regeln für SSH, HTPP, HTTPS, FTP, Rate Limit SSH, paar nervige Netze geblockt, der Rest verboten. Sonst nix.

Ich möchte eine Lösung zum blocken von IPs mit ipset und blacklisten einführen. Das geht mit ufw nicht bis nur sehr verzwickt. Daher die Idee des Umstiegs.

wenn der Text oben stimmt: also "normalerweise" alles verboten und benötigte Dienste ausdrücklich erlaubt,
was muss man da blocken ? Webserver mit Blacklist ? - heisst kein "öffentlicher" Webserver mehr zumal Blacklist nur mit bekannten festen IPs funktioniert


Wenn ich es richtig verstanden habe sind iptables "dumm", d.h. man muss ihnen die Regeln nach jedem Reboot neu eintrichtern. Dazu das Skript. Ufw dagegen merkt sich die Regeln.


bei mir stehen die Regeln standardmäßig in einem Script und werden beim booten geladen (wie bei ufw)
ein wenig hilft noch fail2ban gegen "unerwünschte Anmeldeversuche"

Willst einen "privaten Webserver" dann erlaubst du eben nur das!

Ich habe mal gelernt : bei öffentlichen Maschinen ist nur erlaubt, was gebraucht wird (also die pessimisteche Variante der Firewall)
Man kann auch (optimistische Variante) Allen alles erlauben und danach Verbotene sperren aber es gibt immer mindestens einen den du "übersehen" hast.
Anders sieht es bei (internen) lokalen Netzen aus, wo alle Teilnehmer bekannt sind/überschaubar sind

Fred
Mitglied: lcer00
lcer00 14.01.2022 um 13:44:45 Uhr
Goto Top
Hallo,

nur schnell folgender Hinweis, Blick über den Tellerrand:

Debian hat mittlerweile auf nftables als default firewall umgestellt: https://wiki.debian.org/nftables https://www.nftables.org/ was konsequent ist, da das verantwortliche Netfilter-project sagt:
Ubuntu bleibt derzeit offenbar bei ufw / iptables als default Firewall. Allerdings ist es trotzdem zu möglich, nftables zu verwenden: https://www.liquidweb.com/kb/how-to-install-nftables-in-ubuntu/

Da ich selbst keine Erfahrung mit iptables hatte, habe ich (bei Debian) gleich mit nftables angefangen. Für mich war der strukturierte Syntax von nftables vertrauter, als die zeilenweisen iptables Einträge.

Grüße

lcer
Mitglied: LeReseau
LeReseau 14.01.2022 um 15:06:09 Uhr
Goto Top
Seit Debian Bullseye gibt es schon keine iptables mehr sondern nur noch nftables. Da werden wohl alle Debian basierten Distros auch folgen. iptables ist ganz sicher ein Auslaufmodell.
Mitglied: 150287
150287 14.01.2022 um 21:37:21 Uhr
Goto Top
Danke für die Infos. Hilft mir aber nicht weiter…
Mitglied: EliteHacker
EliteHacker 15.01.2022 um 04:15:31 Uhr
Goto Top
Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.

Würdet Ihr das ganze bei jedem reboot per Script neuladen oder mit iptables persisten dauerhaft speichern? Das sind die 2 Möglichkeiten, soweit ich es verstanden habe...

Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.

Und zum Abschluss: Regeln die Fail2Ban bisher in die ufw einfügt, fügt es dann später selbstädnigig in iptables ein, oder?

Du sagst es.
Mitglied: hokaido
hokaido 15.01.2022 um 12:42:04 Uhr
Goto Top
Ich kann leider nicht weiterhelfen, bin aber durch Zufall auf den Beitrag gestoßen...

Hat jemand ein gutes, sicheres Firewall skript oder eine Anlaufstelle wo man eines findet? Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.

Deshalb schreibt man die Listen manuell und öffnet nur Ports, welche benötigt werden, der Rest wird verworfen oder abgelehnt.

Und genau so ein Skript mit den Standardeinstellungen sucht der TO wohl, damit er es für seine paar Regeln anpassen kann.


Manuelle Einträge speichere ich mit iptables-save (iptables-persistent).
Script-Einträge eben... per Script.

Warum dann überhaupt per Skript? Dann kann man doch entweder alle Einträge dem Skript hinzufügen oder alle oder iptables-save speichern. Dann hat man immer alles zusammen... Oder oder liege ich falsch?
Mitglied: 149569
Lösung 149569 15.01.2022 aktualisiert um 15:39:17 Uhr
Goto Top
Zitat von @150287:
Danke für die Infos. Hilft mir aber nicht weiter…
Autsch. Wie wir dir im letzten Beitrag schon x mal vorgebetet haben, ufw ist nur ein Frontend für iptables!!
Wenn du dir nämlich mal bei aktiviertem ufw auf der Konsole mittels
und
die Regeln anschauen würdest, hättest du gesehen das ufw einfach nur seine Regeln nach iptables umsetzt, die unter /etc/ufw liegen.

Um die Plain zu exportieren wurde ja schon der richtige Command genannt
Schon hast du dein Basis-Regelset das genau dem von ufw entspricht.

Im Klartext ist es dieses:

back-to-topIPv4

back-to-topIPv6


Persönliche regeln kommen dann in die Chains ufw-user-input bzw. für IPv6 ufw6-user-input für INPUT und für's FORWARD ufw-user-forward bzw. für IPv6 ufw6-user-forward.

Diese lassen sich per
wiederherstellen. Und mittels dem Package iptables-persistent permanent machen. Was dazu führt das ein Systemdienst für iptables angelegt wird der das Regelset unter /etc/iptables/iptables.rules und /etc/iptables/ip6tables.rules automatisch beim Dienststart lädt.

Man sollte natürlich beachten das das ein Regelset für einen Client und nicht für einen Router ist!

Und noch wichtiger, wenn man schon eine Firewall einsetzt sollte man sie auch als erstes mal vestehen sonst bringt dir eine Firewall nüscht! Also nicht nur copy n'paste sondern Regel für Regel durchgehen und verstehen bevor man sie nutzt, also das Hirn dafür einsetzen wofür es geschaffen wurde!

Also was willst du noch mehr auf dem Silbertablett?? Mehr gibbed hier ned.

Dann auch bitte den Fred hier dicht machen. Danke.

/hacktor
Mitglied: 150287
150287 15.01.2022 um 15:54:30 Uhr
Goto Top
Schade, die Arroganz mancher Mitglieder hier ist schon erstaunlich…

Ich hatte eine Frage gestellt, lesen oder verstehen Turn gerade die arroganten sie nicht.

Mir ist bewusst was die Ufw ist. Warum stelle ich wohl die Frage ?? Siehe Titel der Anfrage.

Egal. Das ist hier nicht das richtige Forum. Ich frag mich nur warum diese Leute nicht einfach gar nicht antworten.
Egal.
Trifft sicher nicht auf alle zu. Aber auf VIELE.

Bin dann nachher hier weg…
Mitglied: 149569
149569 15.01.2022 aktualisiert um 16:22:15 Uhr
Goto Top
Die Antworten so mancher Leute sind aber auch nicht besonders auskunftsfreudig ...
Danke für die Infos. Hilft mir aber nicht weiter…
So wie es in den Wald hinein schallt so kommt es zurück ...

Klar hab ich nach iptables skript gesucht, man findet zig 1000. Die sind alle individuell und reißen bei mir evtl. ein Loch welches ich gar nicht haben will.
Ja weil Firewalls eben immer individuell sind, jeder hat andere Anforderungen und Dienste aktiv, deswegen findest du kein mach mir mal automatisch ohne hinterher nachzudenken. Ohne dir weiter Wissen anzueignen wirst du hier nicht weiter kommen. Eine Basis findest du bereits oben, nun bleibt nur noch sich selbst hinzusetzen und es zu verstehen, denn ohne geht es einfach nicht. Die Endverantwortung liegt letztendlich immer bei dir selbst das kann dir hier selbstverständlich keiner abnehmen.

Das hat rein gar nichts mit Arroganz zu tun sondern sind schlicht harte Fakten nicht mehr und nicht weniger! Wenn du so empfindlich bist und dir keine Empfehlung geben lässt wie im anderen Thread bereits x mal geschehen und immer wieder mit abwimmelst weil es nicht mundgerecht ist, bist du hier tatsächlich falsch.
Mitglied: 150287
150287 15.01.2022 um 16:26:27 Uhr
Goto Top
Ja melde mich nachher ab.

Aber vll sollte mancher lesen lernen. Es steht alles da. Wenn man es lesen will.
Und auf ne Frage nach Skript unter Ubuntu mit Debian bla bla zu antworten… das hilft nicht weiter

Wie du sagst harte Fakten

Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…

Dann antwortet gar nicht wenn ihr nicht wollt. Das war es jetzt wirklich. Zeitverschwendung
Mitglied: 149569
149569 15.01.2022 aktualisiert um 16:35:53 Uhr
Goto Top
Zitat von @150287:
Und wenn man nach einen Standard Skript fragt und man bekommt immer die Antwort jede Firewall wäre anderes…
Was willst du überhaupt, das Standard-Regelset der ufw habe ich dir oben als iptables Regeln sowohl für IPv4 und IPv6 im plaintext gepostet, mehr Silbertablett geht ja wohl nicht! Man sollte zumindest die Antworten mal lesen.
Tja da kann man echt nichts mehr sagen.

Tschüss und viel Erfolg bei der Suche nach der Wollmilchsau.
Mitglied: LeReseau
LeReseau 15.01.2022 um 16:37:53 Uhr
Goto Top
Hapert ja schon bei solch' einfachen Fakten das Ubuntu eine Debian basierte Distro ist... :-( face-sad
Zeitverschwendung...
Mitglied: lcer00
lcer00 15.01.2022 um 19:46:36 Uhr
Goto Top
Hallo,

manche meinen, ein Forum ist so etwas wie eine Jukebox wo man ne Münze reinwirft und dann genau das abgespielt bekommt, was man aussucht - nur ohne Münze.

Grüße

lcer
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 22 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 22 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...