Firewall in der Version 20.03
Firewall in der Version 20.03
Hallo und vielen Dank für die neue Version. Was mir auffällt ist, wenn die neue Firewall in der gui aktiviert wird sind keine ports vorhanden auch das einlesen bringt nichts. Muss ich nun alle ports die ich so freigegeben hatte erneut eintragen? Kann ich mir die notfalls irgendwo anzeigen lassen?
- space2place
- Posts: 494
- Joined: Tue 24. Mar 2020, 11:02
- Contact:
Re: Firewall in der Version 20.03
Bei mir war die Liste auch erst leer. Nach einem Klick auf "Bearbeitungsmodus aktivieren" werden dann die Rules aufgelistet
i-MSCP => KeyHelp Migration: https://github.com/TheCry/i-mscp-keyhelp-migration
Re: Firewall in der Version 20.03
Da die neue Firewall bei geupdaten System noch nicht aktiv ist, werden in der Übersicht zu Anfang auch keine Regeln angezeigt.
Die Regeln aus dem alten Firewall-System bleiben aktiv. (Und ich kann ja nicht einfach so irgendwelche Regeln auf euren Live-Systemen aufspielen)
Nach aktivieren des Bearbeitungsmodus werden als Hilfe initial die KeyHelp-Standardregeln quasi als Vorschlag geladen. Diese kann man dann beliebig editieren, bis man zufrieden ist, oder klickt gleich auf "Änderungen übernehmen" um die Regeln zu aktivieren.
Bei Neuinstallationen steht die alte Firewall-Verwaltung bei allen unterstützen Betriebssystemen nicht mehr zur Verfügung und die Regeln der neuen Verwaltung sind sofort aktiv.
Die Regeln aus dem alten Firewall-System bleiben aktiv. (Und ich kann ja nicht einfach so irgendwelche Regeln auf euren Live-Systemen aufspielen)
Nach aktivieren des Bearbeitungsmodus werden als Hilfe initial die KeyHelp-Standardregeln quasi als Vorschlag geladen. Diese kann man dann beliebig editieren, bis man zufrieden ist, oder klickt gleich auf "Änderungen übernehmen" um die Regeln zu aktivieren.
Bei Neuinstallationen steht die alte Firewall-Verwaltung bei allen unterstützen Betriebssystemen nicht mehr zur Verfügung und die Regeln der neuen Verwaltung sind sofort aktiv.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Firewall in der Version 20.03
Danke für die Erklärung. Kann man sich die alten Regeln anzeigen lassen? Wäre schön damit ich auch alle ports in die neue Firewall einbinden kann.
Re: Firewall in der Version 20.03
Richtig schön wäre, wenn man die bestehenden Regeln irgendwie automatisch übernehmen könnte. Sind bei mir nicht wenig.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Firewall in der Version 20.03
Kannst du doch, denke ich, Bearbeitungsmodus >> Aktive Regeln
Welchen Sinn hätte der Button sonst ?
Wenn dies nicht so ist dann sorry aber nutze die KH Firewall gegenwärtig (noch) nicht
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Firewall in der Version 20.03
Bei Systemen, bei denen sich die alte Firewall-Verwaltung noch aufrufen ließ, wird man beim Klicken auf Firewall in der Navigation zu einer Auswahlseite geführt, bei der man die Wahl hat, ob man entweder die neue oder die alte Verwaltung aufrufen möchte. Diese könnte man dann in 2 Browserfenstern gegenüberstellen und übertragen.
Alternativ steht der Konsolen-Befehl "iptables -S" oder "ip6tables -S" zur anzeige der aktuell aktiven regeln zur verfügung
Hier muss auch auf o.g. Lösung zurückgegriffen werden. Das neue System macht es aber deutlich einfacher mehrere Regeln zu bündeln, von daher dauert es wahrscheinlich garnicht mal so lange .
Der Läd die aktuellen Regeln der neuen Firewall-Verwaltung rein. Also die, die man sieht, wenn der Bearbeitungsmodus deaktiviert ist.OlliTheDarkness wrote: ↑Fri 30. Oct 2020, 09:23 Kannst du doch, denke ich, Bearbeitungsmodus >> Aktive Regeln
Welchen Sinn hätte der Button sonst ?
Nehmen wir an, man bastelt im Bearbeitung-Modus seine neuen Regeln zusammen, merkt aber, das man doch nochmal neu auf Basis der aktiven Regeln nochmal neu möchte -> dafür ist dieser Button.
Die in der Neuen Firewall-Verwaltung angezeigten aktiven Regeln müssen nicht zwangsläufig dem entsprechen, was derzeit tatsächlich auf dem Server eingestellt ist. Wenn also manuell über die Konsole neue Regeln hinzugefügt werden, werden diese nicht angezeigt.
Das System ist für Leute gedacht, die ausschließlich die KeyHelp Firewall nutzen und darüber die Firewall des Systems konfigurieren. Für Leute, die lieber über die Konsole gehen wollen und selbst konfigurieren ist der Button "Firewall deaktivieren" da.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Firewall in der Version 20.03
In der alten FW gab es ja die Option "Aktuelle Konfiguration laden" , welche die einstellungen aus der FW ins KH genommen hat.Alexander wrote: ↑Fri 30. Oct 2020, 09:38
Der Läd die aktuellen Regeln der neuen Firewall-Verwaltung rein. Also die, die man sieht, wenn der Bearbeitungsmodus deaktiviert ist.
Nehmen wir an, man bastelt im Bearbeitung-Modus seine neuen Regeln zusammen, merkt aber, das man doch nochmal neu auf Basis der aktiven Regeln nochmal neu möchte -> dafür ist dieser Button.
Die in der Neuen Firewall-Verwaltung angezeigten aktiven Regeln müssen nicht zwangsläufig dem entsprechen, was derzeit tatsächlich auf dem Server eingestellt ist. Wenn also manuell über die Konsole neue Regeln hinzugefügt werden, werden diese nicht angezeigt.
Das System ist für Leute gedacht, die ausschließlich die KeyHelp Firewall nutzen und darüber die Firewall des Systems konfigurieren. Für Leute, die lieber über die Konsole gehen wollen und selbst konfigurieren ist der Button "Firewall deaktivieren" da.
Die Option fand ich extrem vorteilhaft ,vor allem wenn 99² docker Instanzen und sonstige Sachen schon frei hattest.
War echt ne massive Erleichterung
Aber sehe hier jetzt nicht den bedarf , weil die meisten eh ihre eigenen Lösungen nutzen zumindest die DEB User
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Firewall in der Version 20.03
Also ich bin von der neuen Firewall-Verwaltung ganz schwer enttäuscht. Bisher war Keyhelp für mich ein tolles Panel, aber damit habt ihr euch keinen Gefallen getan .... sorry.
Wie kann ich verschiedene Protokolle zur Anwendung bringen? (z.B. ICMP)
Wie kann ich Ketten anlegen?
Wie kann ich z.B. TCP-Flags abfragen?
.....
Im Moment würde ich diese Fragen alle mit "Gar nicht!" beantworten. Diese abgespeckte Version erinnert mich an eine FritzBox-Firewall.
Muss ich wohl doch wieder mein gutes altes IPtables-Script rausholen, welches ich mit Anwendung von Keyhelp eigentlich in Rente geschickt habe, da ich mit Keyhelp die wichtigen Dinge in einer GUI lösen konnte. Jetzt leider nicht mehr.
Wie kann ich verschiedene Protokolle zur Anwendung bringen? (z.B. ICMP)
Wie kann ich Ketten anlegen?
Wie kann ich z.B. TCP-Flags abfragen?
.....
Im Moment würde ich diese Fragen alle mit "Gar nicht!" beantworten. Diese abgespeckte Version erinnert mich an eine FritzBox-Firewall.
Muss ich wohl doch wieder mein gutes altes IPtables-Script rausholen, welches ich mit Anwendung von Keyhelp eigentlich in Rente geschickt habe, da ich mit Keyhelp die wichtigen Dinge in einer GUI lösen konnte. Jetzt leider nicht mehr.
Re: Firewall in der Version 20.03
Ja das ist eine gute Frage: Wie kann ich ICMP berücksichtigen? Ich nutze auf meinem System noch die iptables. Ich habe verstanden, das die Keyhelp Firewall dann auf nftables aufsetzt oder? Wie kann ich zb diesen Eintrag mit dem GUI machen? sudo iptables -A INPUT -i lo -j ACCEPT
Ich würde ja schon auf nftables umsteigen - bzw ist umsteigen denn nötig? Unterstützt nftables denn auch automatisch ipv6 wenn ich eine Regel anlege? Oder muss ich wie bei iptables auf eine extra ipv6 variante zurückgreifen?
Danke für die Info!
Ich würde ja schon auf nftables umsteigen - bzw ist umsteigen denn nötig? Unterstützt nftables denn auch automatisch ipv6 wenn ich eine Regel anlege? Oder muss ich wie bei iptables auf eine extra ipv6 variante zurückgreifen?
Danke für die Info!
Re: Firewall in der Version 20.03
Da ist erstmal die Frage, welches System du einsetzt. In Debian ist nftables meines Wissens schon enthalten. In Ubuntu wohl erst ab 20.10.
Re: Firewall in der Version 20.03
Die neue Firewall-Verwaltung kommt mit ein paar hardcodierten Regeln daher - diese werden dann in einem späteren Update zum Teil auch über die UI verwaltbar sein (Einstellungen zu icmp etc.).
KeyHelp setzt aktuell noch auf iptables, mindestens noch so lange, solange alte Betriebssysteme, auf denen nftables noch nicht zwangsläufig zur Verfügung steht, seitens KeyHelp noch unterstützt werden (Ubuntu 16 / Debian 9 / ...) und solange es sich auf kommenden Betriebssystem-Versionen problemlos einsetzen lässt.
Der Austausch des verwendeten Paketfilters ist durch die neue UI jedoch problemlos möglich, da die Regeln nicht mehr direkt abgebildet sind (wie in der alten Verwaltung, die quasi einer 1:1 Umsetzung von iptables glich), sondern jetzt abstrahiert sind. Von daher findet irgendwann (intern) eine Umstellung auf nftables statt, ohne das ihr viel davon mitbekommen werdet.
Das ist zum Beispiel Teil der immer enthaltenen Regeln. Am Besten einmal iptables -S ausführen, wenn man sich einen Überblick verschaffen möchte.iptables -A INPUT -i lo -j ACCEPT
Wenn du selber nftables Regeln pflegen möchtest, kannst du das natürlich tun. Dann aber bei der KeyHelp Firewall den Button zum Deaktivieren drücken, damit sie dir nicht dazwischen funkt.Ich würde ja schon auf nftables umsteigen - bzw ist umsteigen denn nötig?
KeyHelp setzt aktuell noch auf iptables, mindestens noch so lange, solange alte Betriebssysteme, auf denen nftables noch nicht zwangsläufig zur Verfügung steht, seitens KeyHelp noch unterstützt werden (Ubuntu 16 / Debian 9 / ...) und solange es sich auf kommenden Betriebssystem-Versionen problemlos einsetzen lässt.
Der Austausch des verwendeten Paketfilters ist durch die neue UI jedoch problemlos möglich, da die Regeln nicht mehr direkt abgebildet sind (wie in der alten Verwaltung, die quasi einer 1:1 Umsetzung von iptables glich), sondern jetzt abstrahiert sind. Von daher findet irgendwann (intern) eine Umstellung auf nftables statt, ohne das ihr viel davon mitbekommen werdet.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Firewall in der Version 20.03
Blöd im Moment nur wenn man z.B. Nextcloud im Docker-Container laufen hat. Hier werden einige Regeln in den iptables eingefügt, welche sich im Moment noch nicht über die UI reproduzieren lassen. Daher ist iptables über eigene Einstellungen im Moment für einige Pflichtlektüre.
Re: Firewall in der Version 20.03
Ist mir auch schon aufgefallen mit Docker. Wäre cool wenn sich da was machen lässt. Evtl. eine Funktion, die vorhandene iptables Regeln in Keyhelp übernimmt.RHarms wrote: ↑Fri 13. Nov 2020, 18:40 Blöd im Moment nur wenn man z.B. Nextcloud im Docker-Container laufen hat. Hier werden einige Regeln in den iptables eingefügt, welche sich im Moment noch nicht über die UI reproduzieren lassen. Daher ist iptables über eigene Einstellungen im Moment für einige Pflichtlektüre.