Page 1 of 1
Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Sun 24. Apr 2022, 10:42
by Peter
Hallo,
in der Keyhelp GUI lässt sich die Firewall verwalten. Läuft das im Hintergrund über iptables oder nftables?
Sowohl mit iptables -L werden mir in der INPUT Chain passende Einträge angezeigt aber auch unter nft list ruleset sehe ich die entsprechenden rules.
Wo müsste man richtigerweise Änderungen vornehmen die sich nicht in der Keyhelp GUI einstellen lassen (z.B. wenn man das Logging aktivieren möchte)?
Gruß
Peter
Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Sun 24. Apr 2022, 11:11
by Jolinar
Peter wrote: ↑Sun 24. Apr 2022, 10:42
Läuft das im Hintergrund über iptables oder nftables?
Im Hintergrund werkelt eigentlich
netfilter, hier ist das relativ schön erklärt->
https://www.puzzle.ch/de/blog/articles/ ... les-teil-1
Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Sun 24. Apr 2022, 15:18
by Peter
Ok, ich bin noch am überlegen ob es Sinn macht via iptables / nftables das logging zu aktivieren. Klar die Einträge sind dann in den Logdateien zu finden aber eigentlich suche ich nach einem Ansatz um das ganze dann visuell besser erkennen zu können. Macht an der Stelle dann eher OPNSense oder CSF mehr Sinn?
Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Mon 25. Apr 2022, 08:27
by Alexander
Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.
Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.
Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Mon 25. Apr 2022, 08:39
by Peter
Alexander wrote: ↑Mon 25. Apr 2022, 08:27
Die KeyHelp Firewall benutzt iptables zum einspielen der Regeln.
Bitte beachten, sobald eigene Regeln (am KeyHelp vorbei) konfiguriert werden, sollte darüber nachgedacht werden, die Firewall in KeyHelp zu deaktivieren, da diese ja dann nicht mehr den aktuellen Ist-Stand wiederspiegelt.
Bei deaktivierter KeyHelp-Firewall muss man darüber hinaus eigene Vorkehrungen treffen, dass die eigenen Regeln nach einem Server-Reboot wieder geladen werden.
Vielen Dank für die Info. Wie wäre denn die beste Vorgehensweise wenn ich jetzt lediglich die LOG Funktion nutzen möchte? Also im Prinzip alles loggen oder nur die geblockten Pakete. Alles andere, also eigenes CSF wäre für dieses Projekt viel zu überdimensioniert. Von daher habe ich eigentlich eher die Idee die LOG Funktion zu nutzen, vermutlich via ulogd2 und dann evtl. im ELK Stack oder Grafana+Loki zu visualisieren.
Re: Keyhelp 22.0 unter Debian 11 - Firewall (iptables / nftables)
Posted: Mon 25. Apr 2022, 08:50
by Alexander
Wenn du die KeyHelp-Grundkonfiguration behalten möchtest, bzw. vorab über die Firewall UI konfigurieren möchtest.
1. KeyHelp Firewall aktivieren, mit den Regeln die man gerne hätte (halt alles was sich über die UI einstellen lässt)
2. Mittels: iptables-save / ip6tables-save die aktuellen Regeln zwischenspeichern
3. KeyHelp Firewall deaktivieren
4. Die zuvor gespeicherten Regeln wieder über iptables direkt einspielen
5. Eigene Änderungen vornehmen
6. Methode für Neu-Laden-Nach-Reboot etablieren
=> Fertig.
Alternativ kannst du dir natürlich Punkt 1,2 und 4 schenken, wenn du komplett bei 0, ohne bereits vorhandene Regeln anfangen möchtest.