Firewall Rules nach reboot ohne Funktion [GELÖST]

[UUMUC]

Hallo, Ich habe mit der Firewall folgendes Problem welches vermutlich eine einfache Ursache hat. Keyhelp läuft unter Ubuntu 22.04.4 LTS

Wenn Ich unter Security die Firewall öffne und eine neue Rule z.B. für ElasticSearch (Docker) eintrage und den Port 9200,9300 TCP auf DENY stelle, mit Apply Changes den Eintrag speichere und einen Test durchführe "printf "GET / HTTP/1.0\r\n\r\n" | netcat ##IP-Adresse## 9200
wird der Port als geschlossen angezeigt. Sobald Ich jedoch einen reboot durchführe, wird der Port als offen angezeigt und ist somit von außen zugänglich

Wichtig! MariaDB, DENY TCP Port 3306 ist nach einem reboot nicht davon betroffen. Der Port bleibt wieterhin geschlossen. Gehört aber zu den Standard Einstellungen.

In der Firewall steht die Rule an Postition 11. Basic ... MariaDB, FTP, Redis, ES 9200, 9300 Deny
Erst wenn Ich die die Firewall in Keyhelp ausschalte und wieder einschalte, ist der Port gesperrt?
Unter /etc/keyhelp/iptables/startup_rules_ipv4 werden die Port 9200, 9300 als drop angezeigt.

Über den einen oder anderen TIPP, Hilfe wäre Ich Dankbar.
Ulrich

[Alexander]

Hallo,

ich kann es nicht reproduzieren. "iptables -L" zeigt nach der Änderung über KeyHelp die entsprechenden Regeln an und nach einem Reboot sind diese ebenso wieder da.

---

Prüfe einmal ob die Datei /etc/cron.d/keyhelp-firewall mit folgendem Inhalt existiert.

Code: Select all

#
# Created by KeyHelp
#
SHELL=/bin/bash
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=""

# Minute Hour Day Month Day-Of-Week User Command
@reboot root bash /home/keyhelp/www/keyhelp/bin/keyhelp_load_rules.sh
# EOF

[UUMUC]

Hallo,

ja, das ist alles korrekt. Das verrückte ist, dass auch bei mir vor und nach einem reboot "iptables -L" immer das selbe anzeigt, die firewall sich aber unterschiedlich verhält.

Vielleicht hilft das weiter. Es geht um folgende installation. SEAFILE 11.x, läuft unter Apache, zusätzlich ist Docker integriert um OnlyOffice und ElasticSearch auszuführen. Sobald Ich in der firewall ES 9200, 9300 auf incoming, deny setze und speichere, wird es von außen gesperrt und funktioniert wie es sein sollte. Nach einem rebbot ist port 9200 wieder von außen zugänglich.

Tausend Dank schon mal. Ich werde weiter suchen

[Alexander]

Ich fürchte das Problem liegt außerhalb des Einflussbereichs von KeyHelp. KeyHelp sorgt dafür, das die Regeln in die Firewall übernommen werden. So wie du schreibst gibt iptables -L ja scheinbar auch das korrekte aus. Aber irgendwas funkt ggf. dazwischen. Ich setzte keine der genannten Software ein, kann also nicht einschätzen wie invasiv sie sind.

Du kannst ja mal zum Vergleich die Ausgabe von iptables -L (bzw. iptables -S, ist wahrscheinlich besser) vor und nach dem Reboot mit diff vergleichen, ggf. gibt es doch minimale Unterschiede. Oder du postest sie hier mal.

[UUMUC]

Hallo,

einen Schritt weiter in den "startup_rules_ipv4" wurden auch Docker rules hinterlegt, welche nicht über die KH Firewall eingetragen wurden. Bei einem reboot werden diese rules ebenfalls geladen. iptables -S zeigt alle Docker rules an. Sobald ich in KH die Firewall aus, einschalte, werden nur noch die KH Rules geladen. iptables -S zeigt keine Docker rules mehr an.

Gibt es hierzu einen Workaround? über KH eintragen, KH Firewall ausschalten, ???

Grüße Ulrich

[Alexander]

Wenn die KeyHelp Firewall zum Einsatz kommen soll, dann sollte sie auch die einzige Stelle sein, an der Änderungen an der Firewall-Konfiguration durchgeführt werden. Dadurch das Docker dort auch seine Finger im Spiel hat, bringt es alles durcheinander.

Also entweder

1) KeyHelp Firewall deaktivieren und Firewall-Einstellungen Regeln separat pflegen (hier auch an die Übernahme der Regeln bei einem Server-Neustart denken)

2) Oder Docker dazu bringen, dass es keine Änderungen in der Firewall mehr vornimmt. Ich benutz kein Docker aber ggf. geht es so: https://forums.docker.com/t/docker-fire ... able/30398

[UUMUC]

Hallo, vielen Dank für den Link. Grüße Ulrich

[UUMUC]

und die super Unterstützung