staging.inyokaproject.org

Hallo zusammen!

Ich habe bei im Haus folgendes Szenario:

Es gibt einen Server mit zwei Netzwerkkarten. Zum einen das Netz A 192.168.178.0/24, zum anderen das Netz B 192.168.179.0/24 (IP Forwarding ist aktiviert). In beiden Netzen gibt es einen eigenen Router - jeweils mit der IP 1 am Ende, welche als DNS und GW für das jeweilige Netz fungieren.

Ziel ist es von einem beliebigen Rechner aus Netz A den Router aus Netz B im Browser via HTTPS (443) zu erreichen... und umgekehrt.

Ein PING von einem Client X aus Netz A an den Router im Netz B funktioniert ohne Probleme. Wenn ich die UFW "disable", funktioniert auch der Zugriff im Browser via 443.

Könnte mir hierbei vllt etwas Hilfestellung leisten?

Viele Grüße Seti

Setisearcher schrieb:

In beiden Netzen gibt es einen eigenen Router - ...

Was für Router sind das? Evtl. FritzBoxen? Wenn ja, dann mal mit anderen Netzwerken testen?

Was für Router sind das? Evtl. FritzBoxen? Wenn ja, dann mal mit anderen Netzwerken testen?

Was bitte haben die beiden FritzBoxen mit der Firewall-Regel zu tun?

Eine Route in das jeweils andere Netz ist an beiden FritzBoxen eingetragen.

Hintergrund der beiden Netze:

Im Netz A steht ein NextCloud-Server der über HTTPS von "außen" erreichbar ist. Im Netz B steht ein internes NAS für Backups.

Die beiden Netze sind zwei verschiedene Stockwerke, welche im Keller zusammentreffen!

Setisearcher schrieb:

Was bitte haben die beiden FritzBoxen mit der Firewall-Regel zu tun?

Mit der Firewall-Regel haben die nichts zu tun, aber evtl. mit den Subnetzen (Netzwerken) die Du mit diesen FritzBoxen benutzt.

Mit der Firewall-Regel haben die nichts zu tun, aber evtl. mit den Subnetzen (Netzwerken) die Du mit diesen FritzBoxen benutzt.

Eine genauere Erklärung wäre nett (besonders warum es funktioniert wenn ich am Server die UFW ausschalte). Danke und Gruß!

Setisearcher schrieb:

Eine genauere Erklärung wäre nett ...

Das Subnetz 192.168.179.0/24 ist das Gast-Subnetz der FritzBoxen. Deshalb ist es m. E. Zeitverschwendung. Warum kannst Du in deinen FritzBoxen, nicht ein anderes Subnetz konfigurieren?

Das Subnetz 192.168.179.0/24 ist das Gast-Subnetz der FritzBoxen. Deshalb ist es m. E. Zeitverschwendung. Warum kannst Du in deinen FritzBoxen, nicht ein anderes Subnetz konfigurieren?

Der Gastzugang ist an beiden FritzBoxen deaktiviert und wie bereits oben beschrieben, funktioniert es mit deaktivierter Firewall einwandfrei. Was ich benötigte wäre eine korrekt Formulierung für die iptables, welche Port 443 von enp3s0 an enp4s0 und umgekehrt für die Netze A und B erlaubt.

Wenn Du mich davon überzeugen könntest, dass der deaktivierte Gastzugang (192.168.179.0/24) etwas mit meinem Problem zu tun hätte, wäre es natürlich kein Problem einer oder beiden FB´s ein anderes Netz zuzuteilen.

Gruß Seti

Setisearcher schrieb:

Der Gastzugang ist an beiden FritzBoxen deaktiviert ...

D. h., Du hast in der einen FritzBox den Gastzugang deaktiviert und das Subnetz dieser FritzBox von 192.168.178.0/24 auf 192.168.179.0/24 geändert?

D. h., Du hast in der einen FritzBox den Gastzugang deaktiviert und das Subnetz dieser FritzBox von 192.168.178.0/24 auf 192.168.179.0/24 geändert?

FritzBox Netz A: IP-Adresse 192.168.178.1/24 Gastzugang deaktiviert eigener DHCP für dieses Netz

FritzBox Netz B: IP-Adresse 192.168.179.1/24 Gastzugang deaktiviert eigener DHCP für dieses Netz

Ubuntu 16.04 LTS Server: LAN-Karte 1: 192.168.178.254/24 255.255.255.0 (kein Subnetting) Ports nach außen (über dynamische IP erreichbar) geöffnet 443 LAN-Karte 2: 192.168.179.254 255.255.255.0 (kein Subnetting) IP-Forwarding dauerhaft aktiviert (Server fungiert als "Router" zwischen den beiden Netzen) mittels net.ipv4.ip_forward=1

Wenn ich die Firewall mit dem Befehl [sudo ufw disable] deaktiviere, erreiche ich aus dem Netz A von der IP-Adresse 192.168.178.110 den Router mit der IP-Adresse 192.168.179.1 im Netz B via Web-Interface.

Schalte ich die Firewall wieder ein... dann ist die FritzBox im Netz B nicht mehr über Web-Interface (allerdings noch über ICMP) erreichbar.

Gruß Seti

Setisearcher schrieb:

Wenn ich die Firewall mit dem Befehl [sudo ufw disable] deaktiviere, erreiche ich aus dem Netz A von der IP-Adresse 192.168.178.110 den Router mit der IP-Adresse 192.168.179.1 im Netz B via Web-Interface.

Wie ist auf dem Server (wenn ufw aktiviert), die Ausgabe von:

sudo iptables -nvx -L FORWARD

? Es geht ja darum, was ufw mit der default Policy der FORWARD chain macht:

BTW: Bei so einer Konstellation, verwendet man ufw nicht, sondern man macht sich evtl. bezgl. iptables schlau.

Wie ist auf dem Server (wenn ufw aktiviert), die Ausgabe von:

sudo iptables -nvx -L FORWARD

? Es geht ja darum, was ufw mit der default Policy der FORWARD chain macht:

Chain FORWARD (policy DROP 740 packets, 44560 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
    8549  2406297 ufw-before-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8549  2406297 ufw-before-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-after-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-after-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0 

BTW: Bei so einer Konstellation, verwendet man ufw nicht, sondern man macht sich evtl. bezgl. iptables schlau.

Darüber habe ich zwischenzeitig auch schon nachgedacht und vermutlich wird es wohl darauf hinauslaufen. Um die "aufwändige" Konfiguration mittels iptables zu vermeiden, was doch sehr viel Einarbeitung benötigt, was hälst Du von fireHOL?

Setisearcher schrieb:

Chain FORWARD (policy DROP 740 packets, 44560 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
    8549  2406297 ufw-before-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8549  2406297 ufw-before-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-after-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-after-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8475  2400081 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0 

Wenn ich die UFW "disable", funktioniert auch der Zugriff im Browser via 443.

Versuch mal (den Zugriff auf Port 443) mit der aktivierten ufw und folgenden iptables-Regeln:

sudo iptables -I FORWARD 1 -p tcp --dport 443 -j ACCEPT
sudo iptables -I FORWARD 2 -p tcp --sport 443 -j ACCEPT

Setisearcher schrieb:

..., was hälst Du von fireHOL?

Nicht viel, denn das muss ja auch gelernt werden: "FireHOL is a language (and a program to run it) ...", "FireHOL is an iptables firewall generator ..."

Setisearcher schrieb:

[…]

BTW: Bei so einer Konstellation, verwendet man ufw nicht, sondern man macht sich evtl. bezgl. iptables schlau.

Darüber habe ich zwischenzeitig auch schon nachgedacht und vermutlich wird es wohl darauf hinauslaufen. Um die "aufwändige" Konfiguration mittels iptables zu vermeiden, was doch sehr viel Einarbeitung benötigt, was hälst Du von fireHOL?

Solange wir nicht wissen, was die Firewall (auf dem Ubuntu-Server/Router zwischen den beiden privaten Netzen?) leisten soll, ist eine solche Frage unsinnig, weil die zweckmäßige Auswahl des Werkzeugs zur Konfiguration von Netfilter ja davon abhängt. In Frage kommen grundsätzlich

• zur direkten Definition der Regeln nftables und iptables/ip6tables,

• oder zur indirekten Konfiguration der Regeln Generatoren wie ufw, fireHOL und „tausend weitere“.

Nach meiner Erfahrung versagen Generatoren bei speziellen Anforderungen und taugen nur für Standard-Aufgaben; bei den Standard-Aufgaben sind aber die elementaren Werkzeuge noch einfacher.

Wenn man sich seine eigene Hölle erschaffen will, ist dies ein guter Weg: Man fängt mit einem Generator an und versucht dann dessen Ausgabe zu verstehen und mit einem elementaren Werkzeug wie iptables zu optimieren.