Firewall in der Version 20.03

[marco]

Hallo und vielen Dank für die neue Version. Was mir auffällt ist, wenn die neue Firewall in der gui aktiviert wird sind keine ports vorhanden auch das einlesen bringt nichts. Muss ich nun alle ports die ich so freigegeben hatte erneut eintragen? Kann ich mir die notfalls irgendwo anzeigen lassen?

[space2place]

Bei mir war die Liste auch erst leer. Nach einem Klick auf "Bearbeitungsmodus aktivieren" werden dann die Rules aufgelistet

[Alexander]

Da die neue Firewall bei geupdaten System noch nicht aktiv ist, werden in der Übersicht zu Anfang auch keine Regeln angezeigt.
Die Regeln aus dem alten Firewall-System bleiben aktiv. (Und ich kann ja nicht einfach so irgendwelche Regeln auf euren Live-Systemen aufspielen)

Nach aktivieren des Bearbeitungsmodus werden als Hilfe initial die KeyHelp-Standardregeln quasi als Vorschlag geladen. Diese kann man dann beliebig editieren, bis man zufrieden ist, oder klickt gleich auf "Änderungen übernehmen" um die Regeln zu aktivieren.

Bei Neuinstallationen steht die alte Firewall-Verwaltung bei allen unterstützen Betriebssystemen nicht mehr zur Verfügung und die Regeln der neuen Verwaltung sind sofort aktiv.

[marco]

Danke für die Erklärung. Kann man sich die alten Regeln anzeigen lassen? Wäre schön damit ich auch alle ports in die neue Firewall einbinden kann.

[RHarms]

Danke für die Erklärung. Kann man sich die alten Regeln anzeigen lassen? Wäre schön damit ich auch alle ports in die neue Firewall einbinden kann.

Richtig schön wäre, wenn man die bestehenden Regeln irgendwie automatisch übernehmen könnte. Sind bei mir nicht wenig.

[OlliTheDarkness]

Danke für die Erklärung. Kann man sich die alten Regeln anzeigen lassen? Wäre schön damit ich auch alle ports in die neue Firewall einbinden kann.

Richtig schön wäre, wenn man die bestehenden Regeln irgendwie automatisch übernehmen könnte. Sind bei mir nicht wenig.

Kannst du doch, denke ich, Bearbeitungsmodus >> Aktive Regeln

Welchen Sinn hätte der Button sonst ?

Wenn dies nicht so ist dann sorry aber nutze die KH Firewall gegenwärtig (noch) nicht

[Alexander]

Kann man sich die alten Regeln anzeigen lassen? Wäre schön damit ich auch alle ports in die neue Firewall einbinden kann.

Bei Systemen, bei denen sich die alte Firewall-Verwaltung noch aufrufen ließ, wird man beim Klicken auf Firewall in der Navigation zu einer Auswahlseite geführt, bei der man die Wahl hat, ob man entweder die neue oder die alte Verwaltung aufrufen möchte. Diese könnte man dann in 2 Browserfenstern gegenüberstellen und übertragen.

Alternativ steht der Konsolen-Befehl "iptables -S" oder "ip6tables -S" zur anzeige der aktuell aktiven regeln zur verfügung

Richtig schön wäre, wenn man die bestehenden Regeln irgendwie automatisch übernehmen könnte. Sind bei mir nicht wenig.

Hier muss auch auf o.g. Lösung zurückgegriffen werden. Das neue System macht es aber deutlich einfacher mehrere Regeln zu bündeln, von daher dauert es wahrscheinlich garnicht mal so lange .

Kannst du doch, denke ich, Bearbeitungsmodus >> Aktive Regeln

Welchen Sinn hätte der Button sonst ?

Der Läd die aktuellen Regeln der neuen Firewall-Verwaltung rein. Also die, die man sieht, wenn der Bearbeitungsmodus deaktiviert ist.
Nehmen wir an, man bastelt im Bearbeitung-Modus seine neuen Regeln zusammen, merkt aber, das man doch nochmal neu auf Basis der aktiven Regeln nochmal neu möchte -> dafür ist dieser Button.

Die in der Neuen Firewall-Verwaltung angezeigten aktiven Regeln müssen nicht zwangsläufig dem entsprechen, was derzeit tatsächlich auf dem Server eingestellt ist. Wenn also manuell über die Konsole neue Regeln hinzugefügt werden, werden diese nicht angezeigt.
Das System ist für Leute gedacht, die ausschließlich die KeyHelp Firewall nutzen und darüber die Firewall des Systems konfigurieren. Für Leute, die lieber über die Konsole gehen wollen und selbst konfigurieren ist der Button "Firewall deaktivieren" da.

[OlliTheDarkness]

Der Läd die aktuellen Regeln der neuen Firewall-Verwaltung rein. Also die, die man sieht, wenn der Bearbeitungsmodus deaktiviert ist.
Nehmen wir an, man bastelt im Bearbeitung-Modus seine neuen Regeln zusammen, merkt aber, das man doch nochmal neu auf Basis der aktiven Regeln nochmal neu möchte -> dafür ist dieser Button.

Die in der Neuen Firewall-Verwaltung angezeigten aktiven Regeln müssen nicht zwangsläufig dem entsprechen, was derzeit tatsächlich auf dem Server eingestellt ist. Wenn also manuell über die Konsole neue Regeln hinzugefügt werden, werden diese nicht angezeigt.
Das System ist für Leute gedacht, die ausschließlich die KeyHelp Firewall nutzen und darüber die Firewall des Systems konfigurieren. Für Leute, die lieber über die Konsole gehen wollen und selbst konfigurieren ist der Button "Firewall deaktivieren" da.

In der alten FW gab es ja die Option "Aktuelle Konfiguration laden" , welche die einstellungen aus der FW ins KH genommen hat.
Die Option fand ich extrem vorteilhaft ,vor allem wenn 99² docker Instanzen und sonstige Sachen schon frei hattest.
War echt ne massive Erleichterung
Aber sehe hier jetzt nicht den bedarf , weil die meisten eh ihre eigenen Lösungen nutzen zumindest die DEB User

[RHarms]

Also ich bin von der neuen Firewall-Verwaltung ganz schwer enttäuscht. Bisher war Keyhelp für mich ein tolles Panel, aber damit habt ihr euch keinen Gefallen getan .... sorry.

Wie kann ich verschiedene Protokolle zur Anwendung bringen? (z.B. ICMP)

Wie kann ich Ketten anlegen?

Wie kann ich z.B. TCP-Flags abfragen?

.....


Im Moment würde ich diese Fragen alle mit "Gar nicht!" beantworten. Diese abgespeckte Version erinnert mich an eine FritzBox-Firewall.

Muss ich wohl doch wieder mein gutes altes IPtables-Script rausholen, welches ich mit Anwendung von Keyhelp eigentlich in Rente geschickt habe, da ich mit Keyhelp die wichtigen Dinge in einer GUI lösen konnte. Jetzt leider nicht mehr.

[Hg1978]

Ja das ist eine gute Frage: Wie kann ich ICMP berücksichtigen? Ich nutze auf meinem System noch die iptables. Ich habe verstanden, das die Keyhelp Firewall dann auf nftables aufsetzt oder? Wie kann ich zb diesen Eintrag mit dem GUI machen? sudo iptables -A INPUT -i lo -j ACCEPT

Ich würde ja schon auf nftables umsteigen - bzw ist umsteigen denn nötig? Unterstützt nftables denn auch automatisch ipv6 wenn ich eine Regel anlege? Oder muss ich wie bei iptables auf eine extra ipv6 variante zurückgreifen?

Danke für die Info!

[RHarms]

Da ist erstmal die Frage, welches System du einsetzt. In Debian ist nftables meines Wissens schon enthalten. In Ubuntu wohl erst ab 20.10.

[Alexander]

Die neue Firewall-Verwaltung kommt mit ein paar hardcodierten Regeln daher - diese werden dann in einem späteren Update zum Teil auch über die UI verwaltbar sein (Einstellungen zu icmp etc.).

iptables -A INPUT -i lo -j ACCEPT

Das ist zum Beispiel Teil der immer enthaltenen Regeln. Am Besten einmal iptables -S ausführen, wenn man sich einen Überblick verschaffen möchte.

Ich würde ja schon auf nftables umsteigen - bzw ist umsteigen denn nötig?

Wenn du selber nftables Regeln pflegen möchtest, kannst du das natürlich tun. Dann aber bei der KeyHelp Firewall den Button zum Deaktivieren drücken, damit sie dir nicht dazwischen funkt.
KeyHelp setzt aktuell noch auf iptables, mindestens noch so lange, solange alte Betriebssysteme, auf denen nftables noch nicht zwangsläufig zur Verfügung steht, seitens KeyHelp noch unterstützt werden (Ubuntu 16 / Debian 9 / ...) und solange es sich auf kommenden Betriebssystem-Versionen problemlos einsetzen lässt.
Der Austausch des verwendeten Paketfilters ist durch die neue UI jedoch problemlos möglich, da die Regeln nicht mehr direkt abgebildet sind (wie in der alten Verwaltung, die quasi einer 1:1 Umsetzung von iptables glich), sondern jetzt abstrahiert sind. Von daher findet irgendwann (intern) eine Umstellung auf nftables statt, ohne das ihr viel davon mitbekommen werdet.

[RHarms]

Blöd im Moment nur wenn man z.B. Nextcloud im Docker-Container laufen hat. Hier werden einige Regeln in den iptables eingefügt, welche sich im Moment noch nicht über die UI reproduzieren lassen. Daher ist iptables über eigene Einstellungen im Moment für einige Pflichtlektüre.

[iREQ]

Blöd im Moment nur wenn man z.B. Nextcloud im Docker-Container laufen hat. Hier werden einige Regeln in den iptables eingefügt, welche sich im Moment noch nicht über die UI reproduzieren lassen. Daher ist iptables über eigene Einstellungen im Moment für einige Pflichtlektüre.

Ist mir auch schon aufgefallen mit Docker. Wäre cool wenn sich da was machen lässt. Evtl. eine Funktion, die vorhandene iptables Regeln in Keyhelp übernimmt.