staging.inyokaproject.org

firewalld und sshd

Status: Ungelöst | Ubuntu-Version: Kubuntu 22.10 (Kinetic Kudu)
Antworten |

rennradler

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

Hallo Leute,

ich habe auf meinem neuen Laptop firewalld und iptables-nft installiert, da ich gerne einen ssh-Zugang habe und ich das Ding auch an der Hochschule nutze.

Ich habe mich bisher noch nie mit dem Thema firewalld auseinandergesetzt, daher ist die Frage vielleicht naiv. Die Konfiguration habe ich nicht geändert - wie installiert.

Wenn ich von außen per ssh zugreifen will, geht das im lokalen Netzwerk mit einer IPV4-Adresse, versuche ich es mit der IPV6-Adresse (macht die Namensauflösung via Fritzbox standardmäßig), blockiert anscheinend die Firewall. Kann das sein?

Moderiert von kB:

Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 7816

rennradler schrieb:

[…] ich habe auf meinem neuen Laptop firewalld und iptables-nft installiert

Wenn Du nicht konkret angeben kannst, wovor Dich der firewalld schützen soll und diesen dementsprechend konfigurierst, ist das Ding nutzlos und schadet eher als dass es nutzt. Wenn Du es benutzen willst, beachte dass standardmäßig bereits ufw installiert ist. In der Regel benötigt man keines der beiden, aber sie können sich gegenseitig auch stören.

[…] Die Konfiguration habe ich nicht geändert - wie installiert.

Siehe oben. Das bringt im günstigsten Fall gar nichts.

Ob Du zur Konfiguration von Netfilter-Regeln die alte Syntax oder die moderne NFT benutzt, ist Deine rein persönliche Vorliebe und technisch für das Ergebnis bedeutungslos.

Wenn ich von außen per ssh zugreifen will, geht das im lokalen Netzwerk mit einer IPV4-Adresse, versuche ich es mit der IPV6-Adresse (macht die Namensauflösung via Fritzbox standardmäßig), blockiert anscheinend die Firewall. Kann das sein?

Ja, eine schlecht und ohne Verstand konfigurierte Firewall kann Probleme verursachen.

rennradler

(Themenstarter)

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

kB schrieb:

Wenn Du nicht konkret angeben kannst, wovor Dich der firewalld schützen soll und diesen dementsprechend konfigurierst, ist das Ding nutzlos und schadet eher als dass es nutzt.

Es wird halt aus vielen Ecken eine Firewall auch für Linuxrechner propagiert und behauptet, das Fedora-Projekt wäre endlich eine Enduser-tauglich Lösung ohne Konfigurationsaufwand.

Es gibt ja da verschiedene Netzwerkzonen, die man per Applet auswählen kann und damit soll das dann funktionieren. Ich dachte mir, daß "public" eingehende Verbindungen unterbindet und home diese erlaubt. Im Heimnetz will ich freien Zugriff haben und im public nicht. Ich war sehr verdutzt, daß es zunächst doch per ssh ging. Die nähere Untersuchung hat dann dieses seltsame Verhalten zutage gefördert.

Wird das eigentlich irgendwo geloggt, wenn die FW was blockiert? In journalctl habe ich da auf die Schnelle nichts gesehen.

Nun gut, ich schmeiß die Firewall wieder runter, da ich keine Lust habe, mich da tagelang zu beschäftigen.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 16818

Es wird halt aus vielen Ecken eine Firewall auch für Linuxrechner propagiert und behauptet, das Fedora-Projekt wäre endlich eine Enduser-tauglich Lösung ohne Konfigurationsaufwand.

Es wird halt auch ziemlich viel Nonsens behauptet.

Bevor man sich sinnvoll mit einer FW befassen kann, muss man die Netzwerkprotokolle verstehen. Wenn auf den Schnittstellen nach außen kein Dienst wie ssh lauscht, kann auch keiner erfolgreich angreifen. Von Bugs in den IP-Stacks, die es in der Vergangenheit mal gab (z.B. ping fo death und so) abgesehen, gibt es dann kein Risiko, wenn man sein System aktuell hält.

Damit man eine FW nach seinen Vorstellungen konfigurieren kann, muss man die Grundlagen der Netzwerktechnik kennen. Tut man das nicht, sollte man auch keine Serverdienste betreiben.

Prüfe mit

ss -ltun

was bei dir läuft. Da soll auf anderen Adressen als ::1 und 127.0.0.0/8 nichts laufen, was du nicht explizit haben willst.

rennradler

(Themenstarter)

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

Nein, da ist nichts unerwartetes dabei. Da ist halt sshd, kdeconnectd, avahi, dopbox, ... kann ich alles zuordnen.

Dann schmeiß die die FW wieder runter.

sshd will ich laufen haben.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 13293

rennradler schrieb:

Dann schmeiß die die FW wieder runter.

sshd will ich laufen haben.

Dann versuch mal mit z. B.:

sudo iptables -I INPUT 1 -i <input-Interface> -p tcp --dport 22 -j ACCEPT
sudo iptables -I INPUT 2 -i <input-Interface> -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I INPUT 3 -i <input-Interface> -p tcp -m state --state NEW,INVALID,UNTRACKED -j REJECT

(input-Interface anpassen und ohne spitze Klammern). Diese Regeln (für tcp-Verbindungen) sind nicht persistent.

Mit:

sudo iptables -nvx -L INPUT

kannst Du die Zähler/counter (für pkts/bytes) der Regeln anschauen.

rennradler

(Themenstarter)

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

Danke, werde ich ausprobieren.

Ich habe jetzt mal den firewalld gestoppt und prompt geht der Zugriff per ssh auch via IPV6.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 13293

rennradler schrieb:

... der Zugriff per ssh auch via IPV6.

OK. Für IPv6 kann/soll dann ip6tables benutzt werden.

rennradler

(Themenstarter)

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

Die also parallel installieren?

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 16818

rennradler schrieb:

Die also parallel installieren?

Die sind eigentlich schon da.

rennradler

(Themenstarter)

Anmeldungsdatum:
27. Februar 2010

Beiträge: 1832

Danke. Ich muß mich dann doch genauer damit beschäftigen, wenn ich die FW nutzen will.

Antworten |