Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

[Peter]

Hallo,

in der Keyhelp GUI lässt sich die Firewall verwalten. Läuft das im Hintergrund über iptables oder nftables?
Sowohl mit iptables -L werden mir in der INPUT Chain passende Einträge angezeigt aber auch unter nft list ruleset sehe ich die entsprechenden rules.
Wo müsste man richtigerweise Änderungen vornehmen die sich nicht in der Keyhelp GUI einstellen lassen (z.B. wenn man das Logging aktivieren möchte)?

Gruß
Peter

[Jolinar]

Läuft das im Hintergrund über iptables oder nftables?

Im Hintergrund werkelt eigentlich netfilter, hier ist das relativ schön erklärt->
https://www.puzzle.ch/de/blog/articles/ ... les-teil-1

[Peter]

Ok, ich bin noch am überlegen ob es Sinn macht via iptables / nftables das logging zu aktivieren. Klar die Einträge sind dann in den Logdateien zu finden aber eigentlich suche ich nach einem Ansatz um das ganze dann visuell besser erkennen zu können. Macht an der Stelle dann eher OPNSense oder CSF mehr Sinn?

[Alexander]

Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.

Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.

[Peter]

Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.

Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.

Vielen Dank für die Info. Wie wäre denn die beste Vorgehensweise wenn ich jetzt lediglich die LOG Funktion nutzen möchte? Also im Prinzip alles loggen oder nur die geblockten Pakete. Alles andere, also eigenes CSF wäre für dieses Projekt viel zu überdimensioniert. Von daher habe ich eigentlich eher die Idee die LOG Funktion zu nutzen, vermutlich via ulogd2 und dann evtl. im ELK Stack oder Grafana+Loki zu visualisieren.

[Alexander]

Wenn du die KeyHelp-Grundkonfiguration behalten möchtest, bzw. vorab über die Firewall UI konfigurieren möchtest.

1. KeyHelp Firewall aktivieren, mit den Regeln die man gerne hätte (halt alles was sich über die UI einstellen lässt)
2. Mittels: iptables-save / ip6tables-save die aktuellen Regeln zwischenspeichern
3. KeyHelp Firewall deaktivieren
4. Die zuvor gespeicherten Regeln wieder über iptables direkt einspielen
5. Eigene Änderungen vornehmen
6. Methode für Neu-Laden-Nach-Reboot etablieren
=> Fertig.

Alternativ kannst du dir natürlich Punkt 1,2 und 4 schenken, wenn du komplett bei 0, ohne bereits vorhandene Regeln anfangen möchtest.