ufw eigene Regeln ergänzen

Dieses Thema im Forum "Server Administration" wurde erstellt von darkness_08, 9. Apr. 2016.

  1. darkness_08

    darkness_08 Member

    Hallo,
    ich habe heute auf meinem Server UFW installiert. Läuft auch soweit mit ispconfig zusammen.
    Wie kann ich denn zusätzliche, eigene Regeln in UFW definieren (nicht über ISPConfig-Oberfläche). Die bestehenden werden durch ISPConfig ja überschrieben.
     
  2. robotto7831a

    robotto7831a Member

    Die Firewall in ISPConfig wird ja einmal konfiguriert und dann sollte es ja passen. Also kannst du ja hinterher manuell weitere Regeln hinzufügen.

    Was für eine Regel willst Du denn z. B. hinzufügen?
     
  3. darkness_08

    darkness_08 Member

    ich schließe den Port 3306 und gebe ihn nur für bestimmte IPs frei. Dachte das ich dies auch mit in den User oder Afterregeln angeben könnte.
     
  4. robotto7831a

    robotto7831a Member

    Du erstellst ja in ISPConfig einmal die Ports ein und dann sollte sich ja nicht mehr so viel ändern. Und dann würde ich auf der Kommandozeile die entsprechenden ufw Befehle nachfeuern und fertig. Eventuell könnte man die Einstellungen noch in den ufw Konfigurationsdateien hinterlegen.
     
  5. darkness_08

    darkness_08 Member

    Danke, muss ich mir mal anschauen. Ist UFW eigentlich Neustartsicher. Oder muss ich die Regeln auch mit iptables-save sichern?
    Bisher habe ich das Problem, dass die aktivierte FW alles block, obwohl die Ports freigegeben sind.
     
  6. robotto7831a

    robotto7831a Member

    UFW liest beim Programmstart die Regeln aus den Konfigurationsdateien.
     
    darkness_08 gefällt das.
  7. darkness_08

    darkness_08 Member

  8. darkness_08

    darkness_08 Member

    Ich habe mal die Firewall in ISP-Config aktiviert. Leider tauchen dann mehrere Probleme auf:
    Server1:
    Server2 ist Mirror von Server1
    Server1+2 laufen als VM auf dem gleichen Host.

    Problem 1: Es werden alle IP4-Verbindungen geblockt. IPv6 läuft ohne Probleme
    Problem 2: Server 1+2 haben eine zweite Netzwerkkarte (eth1) um intern Daten auszutauchen(unison usw). Hier werden ebenfalls alle Verbindungen geblockt.
    Hängt, denke ich mit Problem1 zusammen, da ebenfalls IPv4
    Hat ISPConfig (UFW) Probleme mit zwei Netzwerkkarten? Ich denke doch das es egal ist, da die Regeln ja für alle Interfaces gelten.
     
  9. Till

    Till Administrator

    Schau Dir doch die vorhandenen Regeln einfach mit den entsprechenden ufw befehlen an. ispconfig macht doch auch nichts anderes als die ports per ufw befehl freizuschalten.
     
  10. mzips

    mzips Member

    Ich Klinke mich mal ein schön wäre es evtl. das Firewall Modul ein wenig zu ergänzen um z.b. IP Adressen zu blocken die bei Fail2Ban immer wieder auftauchen das erspart die Zeit auf das Terminal zu wechseln.
     
  11. darkness_08

    darkness_08 Member

    das Problem scheint an der Chain INPUT für IPv4 zu liegen. Diese ist leer.
     
  12. mzips

    mzips Member

    öhm mal eine ganz dumme Frage, hast du die Firewall auch enable in Ispconfig 3 sry die Frage evtl. ist sie ja auch nicht berechtigt aber ich habe 2 mal den Fehler in der v 3.1a gehabt und stunden gesucht doch die Lösung gab mir Florian:
    ln -s /usr/local/ispconfig/server/plugins-available/firewall_plugin.inc.php /usr/local/ispconfig/server/plugins-enabled
    evtl. Hilft es ja weiter.

    LG
     
  13. darkness_08

    darkness_08 Member

    Bin für jede Idee dankbar. Aber aktiviert ist die Firewall. IPv6 wird ja auch berücksichtigt. Nur bei IPv4 ist die input-tabelle leer.
    gleiches Bild wenn ich die Firewall mir ufw enable manuell starte.
     
  14. mzips

    mzips Member

    Welche Distro benutzt du ?
    Welche Ispconfig Version?
    Sicher das nur UFW auf deinem System Installiert ist ?
    Bastille Firewall vom System entfernt ?

    Also ich würde wie folg vorgehen.
    Firewall Einträge im Ispconfig löschen
    Firewall in Serververwaltung auf UFW stellen
    ufw reset
    ufw enable
    ufw allow ssh
    ufw allow 8080/tcp
    dann in Ispconfig Firewall regeln anlegen
     
  15. mzips

    mzips Member

    Axo da du 2 Netzwerkkarten hast wie ist es da aufgeteilt eth0 und eth1 ?

    ufw allow in on eth0 to any port 8080
    ufw allow in on eth1 to any port 8080
     
  16. darkness_08

    darkness_08 Member

    Es läuft ein debian jessie mit ISPConfig 3.0.5.4p9.
    Ufw ist in der Serververwaltung ausgewählt.
    ufw reset habe ich durchgeführt und SSH ist freigegeben. Im Moment arbeite ich nur auf der Konsole ohne ISPconfig.
    Sobald ich die Firewall aktiviere sieht es so aus:
    iptables -L Input:
    ip6tables -L INPUT:
    Code:
    Chain INPUT (policy DROP 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination      
    385K   91M ufw6-before-logging-input  all      any    any     anywhere             anywhere         
    385K   91M ufw6-before-input  all      any    any     anywhere             anywhere         
    374K   90M ufw6-after-input  all      any    any     anywhere             anywhere         
    374K   90M ufw6-after-logging-input  all      any    any     anywhere             anywhere         
    374K   90M ufw6-reject-input  all      any    any     anywhere             anywhere         
    374K   90M ufw6-track-input  all      any    any     anywhere             anywhere
    Ja eth0 und eth1 ist die Aufteilung

    ufw status:
    Code:
    Status: active
    
    To                         Action      From
    --                         ------      ----
    ssh/tcp                   ALLOW       Anywhere
    ssh/tcp                   ALLOW       Anywhere (v6)
     
  17. darkness_08

    darkness_08 Member

    ich konnte alles ein wenig eingrenzen. Wenn ich den Server neu starte, sind alle Regeln in INPUT IPv4 vorhanden. Starten und stoppen von UFW ist kein Problem.
    Aktiviere ich die Firewall in ISPConfig werden alle regeln in Chain INPUT IPv4 gelöscht und nichts neu erstellt
     
  18. darkness_08

    darkness_08 Member

    Jetzt scheint es endgültig gelöst zu sein.
    Ich hatte Bastille gestoppt und danach
    Code:
    update-rc.d -f bastille-firewall remove
    ausgeführt.
    Aber ich musste das Startscript auch aus /etc/init.d/ entfernen. Dancha läuft alles...
     

Diese Seite empfehlen