Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
Peter
Posts: 33
Joined: Sun 27. Mar 2022, 09:18

Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Peter »

Hallo,

in der Keyhelp GUI lässt sich die Firewall verwalten. Läuft das im Hintergrund über iptables oder nftables?
Sowohl mit iptables -L werden mir in der INPUT Chain passende Einträge angezeigt aber auch unter nft list ruleset sehe ich die entsprechenden rules.
Wo müsste man richtigerweise Änderungen vornehmen die sich nicht in der Keyhelp GUI einstellen lassen (z.B. wenn man das Logging aktivieren möchte)?

Gruß
Peter
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Jolinar »

Peter wrote: Sun 24. Apr 2022, 10:42 Läuft das im Hintergrund über iptables oder nftables?
Im Hintergrund werkelt eigentlich netfilter, hier ist das relativ schön erklärt->
https://www.puzzle.ch/de/blog/articles/ ... les-teil-1
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Peter
Posts: 33
Joined: Sun 27. Mar 2022, 09:18

Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Peter »

Ok, ich bin noch am überlegen ob es Sinn macht via iptables / nftables das logging zu aktivieren. Klar die Einträge sind dann in den Logdateien zu finden aber eigentlich suche ich nach einem Ansatz um das ganze dann visuell besser erkennen zu können. Macht an der Stelle dann eher OPNSense oder CSF mehr Sinn?
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Alexander »

Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.

Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Peter
Posts: 33
Joined: Sun 27. Mar 2022, 09:18

Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Peter »

Alexander wrote: Mon 25. Apr 2022, 08:27 Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.

Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.
Vielen Dank für die Info. Wie wäre denn die beste Vorgehensweise wenn ich jetzt lediglich die LOG Funktion nutzen möchte? Also im Prinzip alles loggen oder nur die geblockten Pakete. Alles andere, also eigenes CSF wäre für dieses Projekt viel zu überdimensioniert. Von daher habe ich eigentlich eher die Idee die LOG Funktion zu nutzen, vermutlich via ulogd2 und dann evtl. im ELK Stack oder Grafana+Loki zu visualisieren.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)

Post by Alexander »

Wenn du die KeyHelp-Grundkonfiguration behalten möchtest, bzw. vorab über die Firewall UI konfigurieren möchtest.

1. KeyHelp Firewall aktivieren, mit den Regeln die man gerne hätte (halt alles was sich über die UI einstellen lässt)
2. Mittels: iptables-save / ip6tables-save die aktuellen Regeln zwischenspeichern
3. KeyHelp Firewall deaktivieren
4. Die zuvor gespeicherten Regeln wieder über iptables direkt einspielen
5. Eigene Änderungen vornehmen
6. Methode für Neu-Laden-Nach-Reboot etablieren
=> Fertig.

Alternativ kannst du dir natürlich Punkt 1,2 und 4 schenken, wenn du komplett bei 0, ohne bereits vorhandene Regeln anfangen möchtest.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Post Reply